Adobe ColdFusion pod ostrzałem: skoordynowana kampania „ColdFusion++” i masowe próby initial access

Wprowadzenie do problemu / definicja luki

Pod koniec grudnia 2025 zaobserwowano skoordynowaną falę żądań wymierzonych w serwery Adobe ColdFusion, która wygląda jak „hurtowy” etap pozyskiwania dostępu (initial access) – typowy dla operatorów skanowania na zlecenie lub brokerów dostępu (IAB). Kampania łączyła próby wykorzystania wielu znanych podatności (głównie z lat 2023–2024) z mechanizmem weryfikacji out-of-band (OAST), aby gwałtownie potwierdzać, które cele reagują na payload.

W praktyce „luka” w tym kontekście nie oznacza jednego CVE, ale pakiet wektorów ataku: od RCE i obejść kontroli dostępu po odczyt plików (LFI / arbitrary file read).

W skrócie

• GreyNoise przypisał ~98% ruchu do infrastruktury powiązanej z CTG Server Limited (AS152194) i wskazał dwie główne adresacje IP generujące większość prób.
• Zarejestrowano ~5 940 żądań dotyczących ColdFusion, z kulminacją 25 grudnia 2025; 68% aktywności przypadło na Boże Narodzenie, co sugeruje świadome „uderzenie” w okresie niższej obsady SOC.
• Główna technika weryfikacji skuteczności to ProjectDiscovery Interactsh (OAST), a kluczowym wektorem były payloady w stylu JNDI/LDAP injection (w tym warianty powiązane z deserializacją/WDDX).
• Kampania „coldfusionowa” była tylko wycinkiem większej operacji: te same dwa IP miały wygenerować >2,5 mln żądań, celując w setki CVE w dziesiątkach stosów technologicznych.

Kontekst / historia / powiązania

ColdFusion regularnie wraca na radar atakujących z dwóch powodów:

1. Wysoka wartość biznesowa celów (aplikacje wewnętrzne, panele administracyjne, integracje).
2. Dług technologiczny – w wielu organizacjach instancje CF są rzadko aktualizowane, a panel admin bywa wystawiony do Internetu.

GreyNoise zwraca uwagę, iż infrastruktura hostująca skanowanie (AS152194/CTG Server Limited) ma cechy „sprzyjające nadużyciom” i była wcześniej kojarzona z aktywnością spam/phishing.

Warto też zauważyć zbieżność czasową: Adobe publikował w ostatnich miesiącach aktualizacje dla ColdFusion 2025/2023/2021, obejmujące krytyczne klasy błędów (m.in. RCE, odczyt/zapis plików, bypassy zabezpieczeń).

Analiza techniczna / szczegóły luki

1) Metryki i geografia

GreyNoise raportuje 5 940 żądań związanych z ColdFusion, 20 państw docelowych i szczyt aktywności 25 grudnia 2025. Najwięcej sesji dotyczyło USA (4 044) oraz Hiszpanii (753).

2) Infrastruktura i automatyzacja

Dwa główne IP (w raporcie podane wprost) działały równolegle przez znaczną część czasu, wysyłając żądania w odstępach 1–5 sekund i „przewijając” zestaw typów ataków per cel. To wygląda jak automatyczny framework skanująco-eksploatacyjny z rotacją szablonów.

3) OAST i Interactsh: dlaczego to ważne

Zamiast „na ślepo” próbować tylko RCE, aktor wykorzystywał Interactsh do potwierdzania, iż payload doprowadził do żądania zwrotnego (callback). To:

• podnosi skuteczność selekcji celów,
• ułatwia budowę listy „pewniaków” do dalszego włamania lub sprzedaży dostępu,
• często omija ograniczenia, gdy bezpośrednia odpowiedź HTTP nie zdradza sukcesu.

GreyNoise opisuje Interactsh jako najważniejszy komponent weryfikacji, z licznymi domenami OAST i charakterystycznymi wzorcami subdomen.

4) Najczęściej uderzane podatności (wycinek)

W raporcie GreyNoise wprost wskazano m.in. następujące CVE (zliczane próby), obok „generycznych” kategorii typu RCE/LFI:

• CVE-2023-26359 (deserialization/RCE)
• CVE-2023-38205 (access control bypass)
• CVE-2023-44353 (RCE)
• CVE-2024-20767 (arbitrary file read)
  …oraz kilka innych CVE z 2023 r.

Dla CVE-2024-20767 Adobe potwierdzał istnienie znanego PoC prowadzącego do odczytu dowolnych plików oraz wskazywał konkretne wersje aktualizacji rozwiązujące problem.
NVD podkreśla dodatkowo, iż scenariusz wykorzystania wiąże się z ekspozycją panelu admin do Internetu.

5) Przykładowe ślady payloadów (na co patrzeć w logach)

GreyNoise opisuje m.in.:

• artefakty WDDX (np. wddxPacket) oraz łańcuch z com.sun.rowset.JdbcRowSetImpl,
• ścieżki w stylu ldap://<callback>/... (JNDI/LDAP),
• próby LFI/Path Traversal z celami typu /etc/passwd i pliki konfiguracyjne.

Praktyczne konsekwencje / ryzyko

1. Selekcja celów do pełnej kompromitacji
   Nawet jeżeli kampania zaczyna się od „sondowania”, potwierdzony callback OAST zwykle oznacza, iż cel trafi do kolejki dalszych działań (webshell, kradzież danych, ruch lateralny).
2. Ryzyko łańcuchów: LFI → poświadczenia → przejęcie aplikacji
   Odczyt plików (np. konfiguracji) może prowadzić do kradzieży sekretów, a następnie do eskalacji.
3. Okno ataku w święta = realny problem operacyjny
   Sama taktyka „Christmas Day spike” pokazuje, iż przeciwnik planuje działania pod słabszy monitoring.
4. Możliwy kontekst IAB (initial access broker)
   GreyNoise wskazuje, iż coldfusionowy wycinek stanowił ułamek większej operacji skanującej setki CVE w wielu technologiach, co pasuje do modelu masowego pozyskiwania dostępu.

Rekomendacje operacyjne / co zrobić teraz

1) Priorytet: aktualizacja i higiena konfiguracji

• Zaktualizuj ColdFusion do najnowszych wydań wskazanych przez Adobe (dla linii 2025/2023/2021). Adobe w biuletynie z grudnia 2025 opisuje łatki na wiele krytycznych klas błędów (RCE, read/write, bypass).
• Dla przypadków związanych z CVE-2024-20767 zastosuj wersje aktualizacji rekomendowane w APSB24-14.
• Upewnij się, iż JDK/JRE jest aktualne – Adobe podkreśla, iż sama instalacja update’u CF bez adekwatnego JDK nie „zamyka” tematu bezpieczeństwa.

2) Zmniejsz powierzchnię ataku

• Nie wystawiaj panelu administracyjnego do Internetu. jeżeli musi być dostępny: VPN + MFA + allowlist IP + dodatkowe kontrole. (To szczególnie istotne przy klasie błędów jak CVE-2024-20767, gdzie NVD wskazuje znaczenie ekspozycji panelu).
• Ogranicz dostęp do endpointów CF tylko do niezbędnych sieci (segmentacja).

3) Detekcja i hunting (szybkie wins)

W logach WAF/Reverse Proxy/serwera aplikacyjnego wyszukaj:

• wddxPacket, JdbcRowSetImpl, ldap://, jndi:
• anomalia częstotliwości: serie żądań co 1–5 sekund, wiele typów prób per host
• wzorce Path Traversal/LFI (../, /etc/passwd, próby odczytu plików konfiguracyjnych)

4) Kontrola ruchu wychodzącego (często pomijana)

Ponieważ weryfikacja opiera się o callback, rozważ:

• restrykcje egress dla serwera CF (szczególnie nietypowe wyjścia do Internetu),
• alerty na połączenia LDAP/LDAPS na zewnątrz lub nietypowe DNS-y.

5) Reakcja na incydent, jeżeli widzisz ślady

• Traktuj wykryty callback/OAST jako sygnał wysokiej wagi: izolacja hosta, triage webrootu, przegląd zadań harmonogramu i kont serwisowych, rotacja sekretów.
• Sprawdź, czy nie doszło do zapisów plików / webshelli (kampanie ColdFusion często kończą się trwałą implantacją).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

To, co wyróżnia „ColdFusion++”, to połączenie:

• multi-CVE „pakietu” (10+ CVE)
• OAST-driven verification (Interactsh)
• świadomego timingu (święta)
• oraz faktu, iż ColdFusion był tylko jedną z wielu technologii w dużo większym skanowaniu (setki CVE, dziesiątki stacków).

W klasycznych falach exploitu często widzimy „jedno CVE → masowe skanowanie → szybka monetyzacja”. Tutaj bardziej przypomina to pipeline selekcji celów pod dalszą sprzedaż/dalsze operacje.

Podsumowanie / najważniejsze wnioski

• Kampania była skoordynowana, zdominowana przez dwa źródła i mocno „zautomatyzowana”, a szczyt aktywności przypadł na 25 grudnia.
• Interactsh/OAST zmienia reguły gry: to nie tylko skan, ale precyzyjna walidacja podatności.
• Najlepsza obrona to: patching + ograniczenie ekspozycji (zwłaszcza panel admin) + monitoring pod artefakty WDDX/JNDI + kontrola egress.

Źródła / bibliografia

1. GreyNoise Labs – ColdFusion++ Christmas Campaign: Catching a Coordinated Callback Calamity labs.greynoise.io
2. SecurityWeek – Adobe ColdFusion Servers Targeted in Coordinated Campaign SecurityWeek
3. Adobe Security Bulletin – APSB24-14: Security updates available for Adobe ColdFusion Adobe Help Center
4. Adobe Security Bulletin – APSB25-105: Security updates available for Adobe ColdFusion Adobe Help Center
5. NVD – CVE-2024-20767 Detail NVD