Lỗ hổng Adobe ColdFusion bị khai thác hàng loạt trên quy mô toàn cầu dịp Giáng sinh 2025

Lợi dụng kỳ nghỉ lễ Giáng sinh 2025, tin tặc đã thực hiện một chiến dịch tấn công quy mô lớn, nhắm vào hàng loạt lỗ hổng của nền tảng Adobe ColdFusion cùng nhiều nền tảng phần mềm khác.

Cơ quan tình báo mối đe dọa GreyNoise Labs ghi nhận một chiến dịch khai thác lỗ hổng được thực hiện có hệ thống nhắm vào các máy chủ ColdFusion trong kỳ nghỉ lễ. Theo báo cáo, chiến dịch này tạo ra hơn 2,5 triệu yêu cầu độc hại hướng tới các dịch vụ khác nhau, bao gồm Adobe ColdFusion và hơn 47 nền tảng khác. 

Trong đó, riêng các yêu cầu nhắm vào các lỗ hổng ColdFusion được thống kê là khoảng 5.940 yêu cầu độc hại với hoạt động đạt đỉnh vào Ngày Giáng sinh 25/12/2025. 

Cuộc tấn công mạng nhắm vào Adobe ColdFusion bùng phát trong dịp Giáng sinh 2025

Phân tích của GreyNoise cho thấy khoảng 98% lưu lượng tấn công đến từ một người sử dụng hạ tầng mạng đặt tại Nhật Bản, thuộc quản lý của nhà cung cấp CTG Server Limited (AS152194). Hai địa chỉ IP cụ thể được xác định là nguồn gốc của phần lớn lưu lượng tấn công (134.122.136[.]119 và 134.122.136[.]96) để thực hiện các cuộc tấn công một cách có hệ thống, khai thác hơn 10 lỗ hổng của ColdFusion được phát hiện trong giai đoạn 2023-2024. 

CTG Server Limited, một nhà cung cấp có đăng ký tại Hồng Kông, đã được ghi nhận có liên quan đến các hoạt động đáng ngờ trước đây.Đáng chú ý, hạ tầng này từng bị liên hệ với các hoạt động phishing, spam, và phân phối bogon routing, cho thấy mức độ kiểm soát lỏng lẻo của nhà cung cấp dịch vụ mạng

Chiến dịch tập trung khai thác hơn 10 lỗ hổng nghiêm trọng của ColdFusion, trong đó phần lớn cho phép thực thi mã từ xa (Remote Code Execution – RCE) bao gồm file cục bộ (LFI) bỏ qua cơ chế kiểm soát truy cập hoặc đọc tệp trái phép trên máy chủ. Đây đều là những dạng lỗ hổng có mức độ rủi ro cao, có thể dẫn tới việc tin tặc chiếm quyền điều khiển toàn bộ hệ thống nếu không được vá kịp thời.

Về mặt kỹ thuật, kẻ tấn công sử dụng các phương thức quen thuộc trong các chiến dịch hiện đại như JNDI/LDAP injection, kết hợp với công cụ xác thực ngoài băng (out-of-band) Interactsh để kiểm tra nhanh xem việc khai thác có thành công hay không. Cách tiếp cận này cho phép tin tặc quét và đánh giá hàng loạt mục tiêu trên quy mô lớn trong thời gian ngắn.

Dưới đây là danh sách các lỗ hổng chính bị nhắm mục tiêu và số lượng yêu cầu tương ứng:

Các máy chủ ColdFusion bị nhắm tới tại hơn 20 quốc gia. Ba quốc gia có số lượng yêu cầu tấn công cao nhất là: Hoa Kỳ – 4,044 phiên tấn công, Tây Ban Nha – 753, Ấn Độ – 128

Thống kê của GreyNoise cho thấy các máy chủ tạiHoa Kỳ là mục tiêu bị nhắm tới nhiều nhất, tiếp theo làTâyBan Nha và Ấn Độ. Ngoài ra, hoạt động tấn công rải rác cũng được ghi nhận tại Canada, Đức và một số quốc gia khác, phản ánh phạm vi ảnh hưởng mang tính toàn cầu.

Các chuyên gia nhận định các cuộc tấn công nhắm vào ColdFusion thực chất chỉ chiếm khoảng 0,2% trong một chiến dịchrà quét lỗ hổng (reconnaissance & vulnerability scanning). Tổng cộng, cùng hạ tầng này đã tạo rahơn 2,5 triệu yêu cầu độc hại, nhắm vào 767 lỗ hổng thuộc 47 nền tảng và công nghệ khác nhau, từ máy chủ Java, framework web, hệ quản trị nội dung (CMS) cho tới thiết bị mạng và phần mềm doanh nghiệp.

Quy mô, mức độ tự động hóa và phạm vi công nghệ bị nhắm tới cho thấy đây là một chiến dịch thăm dò và khai thác có hệ thống, nhằm dò tìm rà quét các hệ thống chưa vá lỗi trên toàn cầu từ đó chuẩn bị cho các cuộc tấn công khai thác sâu hơn.

Chiến dịch tấn công ColdFusion dịp Giáng sinh 2025 là lời cảnh báo rõ ràng về mức độ tinh vi và quy mô ngày càng lớn của các mối đe dọa mạng hiện nay. Trong bối cảnh tin tặc hoạt động không ngừng nghỉ, việc duy trì vá lỗi kịp thời và giám sát liên tục không còn là lựa chọn, mà đã trở thành yêu cầu bắt buộc đối với mọi hệ thống doanh nghiệp.