top of page

251 endereços IP hospedados na Amazon foram usados em ataque coordenado contra ColdFusion, Struts e Elasticsearch

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 28 de mai.
  • 2 min de leitura

Pesquisadores de segurança cibernética revelaram os detalhes de uma operação coordenada de varredura digital baseada em nuvem que teve como alvo 75 pontos de exposição distintos no início deste mês. A atividade maliciosa foi registrada no dia 8 de maio de 2025 e envolveu 251 endereços IP hospedados pela Amazon e geolocalizados no Japão.


Segundo a empresa de inteligência de ameaças GreyNoise, esses IPs realizaram ações como exploração de vulnerabilidades conhecidas (CVEs), sondagens de configurações incorretas e varreduras de reconhecimento em larga escala. "Todos os IPs estavam inativos antes e depois do ataque, o que indica o aluguel temporário de infraestrutura em nuvem para uma operação pontual", destacou a empresa. A lista de tecnologias atacadas inclui Adobe ColdFusion, Apache Struts, Apache Tomcat, Drupal, Elasticsearch e Oracle WebLogic.


A operação, considerada oportunista, tentou explorar falhas amplamente conhecidas como:

  • CVE-2018-15961 (execução remota de código no Adobe ColdFusion)

  • CVE-2017-5638 (injeção OGNL no Apache Struts)

  • CVE-2022-26134 (injeção OGNL no Atlassian Confluence)

  • CVE-2014-6271 (Shellshock no Bash)

  • CVE-2015-1427 (execução remota de código no Elasticsearch)


Além disso, também foram detectadas ações como escaneamento de scripts CGI, exposição de variáveis de ambiente, rastreamento de arquivos de configuração do Git, tentativas de upload de shells maliciosos e varreduras de perfis de autores no WordPress.


Um dado curioso é que toda essa atividade foi registrada somente no dia 8 de maio, sem qualquer sinal de movimentação antes ou depois. O padrão sugere uma ação coordenada e orquestrada, possivelmente com o uso de um mesmo conjunto de ferramentas ou operador operando por meio de diferentes IPs temporários. Dos IPs monitorados, 295 focaram na exploração da CVE-2018-15961, 265 no Apache Struts e 260 na CVE-2015-1427 — sendo que 251 deles participaram de todos os três ataques.


A GreyNoise reforça que esse alto grau de sobreposição reforça a hipótese de uma única operação massiva baseada em uma infraestrutura temporária — prática cada vez mais comum em ataques oportunistas. A recomendação para mitigar a ameaça é o bloqueio imediato dos IPs identificados, embora os pesquisadores alertem que novos ataques semelhantes podem ser lançados por outras infraestruturas alugadas.


Via - THN

 
 
 

Yorumlar

Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page