¿Sigue vivo Adobe ColdFusion? Sí — y está siendo atacado activamente (sobre todo en días festivos)

En pleno período de las fiestas navideñas, los especialistas de Greynoise registraron un ataque cibernético a gran escala cuyo objetivo fueron servidores vulnerables de Adobe ColdFusion. En un corto periodo se realizaron más de 2,5 millones de peticiones maliciosas, lo que permite hablar de una operación planificada y técnicamente compleja que afectó a decenas de tecnologías distintas.

El golpe principal se concentró en una decena de vulnerabilidades conocidas en Adobe ColdFusion. Se registraron alrededor de 6.000 ataques directos contra esta plataforma. Sin embargo, un análisis posterior mostró que la magnitud del ataque fue mucho mayor. Dos direcciones IP principales, registradas con el proveedor japonés CTG Server Limited, generaron millones de peticiones que abarcaron casi 800 vulnerabilidades distintas en 47 pilas tecnológicas. En los ataques se utilizaron unos 10.000 dominios únicos para comprobar el éxito de las intrusiones.

La elección del momento no fue casual. Alrededor del 68 % del tráfico se concentró precisamente el 25 de diciembre —día en que la mayoría de los equipos corporativos de seguridad operan con recursos reducidos—. Esto evidencia un alto conocimiento de los atacantes sobre los procesos internos de las organizaciones y su vigilancia de seguridad.

Para comprobar intrusiones exitosas se utilizó la infraestructura de ProjectDiscovery Interactsh, que permitió rastrear en tiempo real qué sistemas habían sido comprometidos. Esto aceleró las fases posteriores del ataque, incluyendo la posible persistencia en la red y la propagación.

Se prestó especial atención a vulnerabilidades críticas como CVE-2023-26359, vinculada con la ejecución remota de código, que fue atacada 833 veces. La vulnerabilidad CVE-2023-38205, que permite eludir mecanismos de control de acceso, registró 654 intentos de explotación. Otra, CVE-2023-44353 , se utilizó en 611 casos. El método principal de intrusión incluyó una inyección JNDI/LDAP a través del mecanismo de deserialización WDDX, empleando la cadena JdbcRowSetImpl para ejecutar código de forma remota.

Además de ColdFusion, el ataque alcanzó muchos otros objetivos: servidores de aplicaciones Java, CMS populares, frameworks web, productos de Atlassian, dispositivos de red y sistemas de videovigilancia. Solo la vulnerabilidad en Confluence CVE-2022-26134 recibió más de 12.000 peticiones. Incluso la obsoleta Shellshock (CVE-2014-6271) no pasó desapercibida: se explotó más de 8.500 veces.

La infraestructura de los ataques se alojó en el sistema autónomo AS152194, propiedad de la empresa CTG Server Limited registrada en Hong Kong, que ya había aparecido en investigaciones relacionadas con campañas de phishing y operaciones de spam. En su red se detectó la infraestructura FUNNULL CDN, vinculada a ataques contra marcas de lujo, lo que señala un débil control de los abusos y la rápida expansión del espacio de direcciones IP.

Quienes utilizan ColdFusion deben instalar cuanto antes las actualizaciones para corregir las vulnerabilidades, incluidas CVE-2023-26359 y CVE-2023-38205. Además, es importante configurar los sistemas de monitorización para detectar inyecciones JNDI, dominios de callback sospechosos y huellas de red características de los atacantes. El escaneo continuo de la infraestructura en busca de vulnerabilidades y el seguimiento de nuevos intentos de explotación siguen siendo tareas clave para la protección.