SecurityAffairs relaie un rapport de GreyNoise décrivant une campagne coordonnée visant des serveurs Adobe ColdFusion pendant les fêtes de Noël 2025. Un unique acteur aurait généré ~98 % du trafic depuis une infrastructure au Japon (CTG Server Limited), en exploitant plus de 10 CVE publiées entre 2023 et 2024, avec validation OAST via Interactsh et un vecteur principal en injection JNDI/LDAP.

🎯 Activité observée: GreyNoise a comptabilisé 5 940 requêtes malveillantes visant des vulnérabilités ColdFusion 2023–2024, avec un pic le 25 décembre 2025. Les cibles principales étaient situées aux États-Unis (4 044), en Espagne (753) et en Inde (128). Deux IP dominantes (134.122.136[.]119 et 134.122.136[.]96), hébergées par CTG Server Limited (AS152194), ont opéré de façon coordonnée et automatisée, partageant des sessions Interactsh et alternant plusieurs types d’attaques.

🌐 Portée élargie: selon GreyNoise, l’activité ColdFusion ne représentait qu’environ 0,2 % d’une campagne de scans bien plus vaste dépassant 2,5 millions de requêtes, couvrant 767 CVE (2001–2025), plus de 1 200 signatures d’attaque et des milliers d’empreintes et domaines OAST. La séquence observée privilégiait la reconnaissance, suivie d’exploitations de CVE, de LFI et de RCE, en visant 47+ piles technologiques (serveurs Java, frameworks web, CMS, équipements réseau, logiciels d’entreprise). Les indices convergent vers une reconnaissance systématique et automatisée, fondée sur des gabarits.

🔎 Vulnérabilités ColdFusion ciblées (extraits et volumes):

  • Generic RCE — 1 403 requêtes (Remote Code Execution)
  • Generic LFI — 904 requêtes (Local File Inclusion)
  • CVE-2023-26359833 (Deserialization RCE)
  • CVE-2023-38205654 (Bypass de contrôle d’accès)
  • CVE-2023-44353611 (RCE)
  • CVE-2023-38203346 (RCE)
  • CVE-2023-38204346 (RCE)
  • CVE-2023-29298342 (Bypass de contrôle d’accès)
  • CVE-2023-29300176 (RCE)
  • CVE-2023-26347171 (Bypass de contrôle d’accès)
  • CVE-2024-20767146 (Lecture arbitraire de fichier)
  • CVE-2023-443528 (XSS réfléchi)

🧩 IOCs et TTPs:

  • IOCs: IPs 134.122.136[.]119 et 134.122.136[.]96; AS152194 (CTG Server Limited); infrastructure basée au Japon; hébergeur enregistré à Hong Kong; cibles surtout aux États-Unis, Espagne, Inde. Les chercheurs indiquent avoir publié des IOCs complémentaires.
  • TTPs: Exploitation multi-CVE ColdFusion (2023–2024); injection JNDI/LDAP; validation OAST via Interactsh; LFI, RCE, bypass de contrôle d’accès, lecture arbitraire de fichier, XSS réfléchi; automatisation et cycle à travers plusieurs types d’attaque; timing le jour de Noël pour profiter d’une surveillance réduite.

Il s’agit d’une analyse de menace visant à documenter une campagne coordonnée d’exploitation et de reconnaissance à large échelle.

🧠 TTPs et IOCs détectés

TTP

Exploitation multi-CVE ColdFusion (2023–2024); injection JNDI/LDAP; validation OAST via Interactsh; LFI; RCE; bypass de contrôle d’accès; lecture arbitraire de fichier; XSS réfléchi; automatisation et cycle à travers plusieurs types d’attaque; timing le jour de Noël pour profiter d’une surveillance réduite.

IOC

IPs 134.122.136[.]119 et 134.122.136[.]96; AS152194 (CTG Server Limited); infrastructure basée au Japon; hébergeur enregistré à Hong Kong.

🔗 Source originale : https://securityaffairs.com/186450/uncategorized/thousands-of-coldfusion-exploit-attempts-spotted-during-christmas-holiday.html