251 个亚马逊托管 IP 被用于针对 ColdFusion、Struts 和 Elasticsearch 的漏洞扫描攻击

网络安全研究人员近日披露了一起针对75个不同"暴露点"的个亚攻击云端协同扫描活动细节。该活动由威胁情报公司GreyNoise于2025年5月8日发现 ，马逊涉及251个恶意IP地址，托管这些IP均位于日本并由亚马逊云服务托管。亿华云被用

扫描活动技术特征

GreyNoise表示
："这些IP触发了75种不同的于针行为模式，包括CVE漏洞利用
、漏洞配置错误探测和侦察活动 。源码库扫描所有IP在流量激增前后均保持静默 ，个亚攻击表明这是马逊为单次行动租用的临时基础设施 。云计算"

扫描目标涵盖多项主流技术 ：

Adobe ColdFusion — CVE-2018-15961（远程代码执行）Apache Struts — CVE-2017-5638（OGNL注入）Atlassian Confluence — CVE-2022-26134（OGNL注入）Bash — CVE-2014-6271（Shellshock漏洞）Elasticsearch — CVE-2015-1427（Groovy沙箱绕过及远程代码执行）CGI脚本扫描环境变量暴露探测Git配置爬取Shell上传检测WordPress作者信息检查攻击模式分析

值得注意的托管是，这次广谱扫描仅在5月8日当天活跃，源码下载被用前后均未观察到明显活动 。于针数据显示 ：

295个IP扫描了ColdFusion漏洞CVE-2018-15961265个IP扫描了Apache Struts260个IP扫描了Elasticsearch漏洞CVE-2015-1427 其中262个IP同时扫描了ColdFusion和Struts，漏洞251个IP参与了全部三项漏洞扫描。扫描

GreyNoise分析指出
："这种高度重叠表明存在单一操作者或工具集通过大量临时IP进行部署——这在机会性但组织化的高防服务器个亚攻击扫描中已成为常见模式 。"

防护建议

企业应立即封禁相关恶意IP地址 。但需注意 ，后续攻击可能来自不同基础设施。服务器租用建议同时加强以下防护措施  ：

及时修补列出的所有CVE漏洞检查系统是否存在配置错误监控异常扫描行为对关键系统实施网络访问控制