حمله هماهنگ Brute‑Force با 295 IP مخرب علیه پنل Apache Tomcat

۲۹۵ آدرس IP مخرب حملات هماهنگ Brute‑Force به Apache Tomcat Manager

شرکت GreyNoise از حمله‌ی هماهنگ Brute‑Force 295 IP به سرورهای Apache Tomcat فعال در ۵ ژوئن ۲۰۲۵ خبر داد. این حملات عمدتاً از آمریکا، انگلیس، آلمان، هلند و سنگاپور آغاز شده‌اند.

محمد جواد جوشنی

کد نوشته: 1157

مدیر ارشد

منبع: The Hacker News

۲۲ خرداد

8 بازدید

بدون دیدگاه

GreyNoise در روز ۵ ژوئن ۲۰۲۵ حمله‌ای هماهنگ از طریق ۲۹۵ IP مشکوک را علیه صفحات مدیریت Apache Tomcat گزارش کرد. این IPها عمدتاً از آمریکا، انگلستان، آلمان، هلند و سنگاپور بوده‌اند. در ۲۴ ساعت اخیر ۲۴۶ تا ۲۹۸ IP مشابه شناسایی شده‌اند که بیشترشان از زیرساخت‌های DigitalOcean هستند. کارشناسان امنیتی توصیه می‌کنند که مدیران این سرویس‌ها از احراز هویت قوی، محدودسازی دسترسی و مانیتورینگ مستمر استفاده کنند تا از تهدیدات احتمالی جلوگیری شود

شرکت GreyNoise،‌ یک شرکت تحلیل تهدیدات سایبری، گزارشی منتشر کرد مبنی بر این‌که در تاریخ ۵ ژوئن ۲۰۲۵، ۲۹۵ آدرس IP دارای رفتار Brute‑Force شناسایی شده‌اند که به‌صورت هماهنگ تلاش برای ورود به کنسول Apache Tomcat Manager را انجام داده‌اند . این نوع حملات معمولاً با هدف نفوذ به پنل‌های تحت وب و اجرای دستورات مخرب ادامه می‌یابد.

در تحلیل اولیه مشخص شد که از این تعداد، ۱۸۸ IP در بازه ۲۴ ساعت اخیر فعالیت کرده‌اند. موقعیت جغرافیایی منابع حمله شامل کشورهای آمریکا، بریتانیا، آلمان، هلند و سنگاپور بوده است . همچنین در یک بررسی مشابه، گزارش شد که بین ۲۴۶ تا ۲۹۸ IP در حملات ورود به سیستم حضور داشته‌اند، با تمرکز بر همان کشورها، به‌خصوص ایالات‌متحده و بریتانیا

تحلیل‌ها نشان می‌دهد بخشی از این IPها متعلق به زیرساخت‌های ارائه‌دهنده DigitalOcean (ASN 14061) هستند، که نشان می‌دهد مهاجمان ممکن است از ابر خصوصی برای راه‌اندازی شبکه‌ای از آدرس‌ها برای پوشش فعالیت‌های شناسایی استفاده کرده باشند . این روش برای جلوگیری از شناسایی سریع و بلوکه نشدن موثر عمل می‌کند.

شرکت GreyNoise تاکید کرده که این حملات به یک آسیب‌پذیری خاص گره نخورده‌اند، اما حضور گسترده و هماهنگ آنها نشانه علاقه مجدد مهاجمان به سرویس‌های Tomcat است. همچنین این نوع اقدامات، اغلب مقدمه‌ای برای حملات بزرگ‌تر یا هدفمندتری هستند.

برای کاهش ریسک، توصیه‌های موثری ارائه شده‌اند:‌ پیاده‌سازی احراز هویت قوی (مانند MFA)، محدودسازی دسترسی از طریق فایروال و VPN، به‌روزرسانی منظم نرم‌افزار، و نظارت پویا بر لاگ‌ها و رفتارهای مشکوک. این اقدامات می‌توانند میزان استفاده غیرمجاز را به طور قابل‌توجهی کاهش دهند .

در پریود زمانی مشابه، گزارش دیگری درباره ۴۰,۰۰۰ دوربین امنیتی کشف‌شده در اینترنت منتشر شد. نکته اینجاست که بخش اعظم این دوربین‌ها متعلق به بخش‌های مختلف نظیر تلفن همراه، فناوری و … بوده و به علت پیکربندی ضعیف، در معرض دسترسی عمومی قرار گرفته‌اند . توصیه‌های مشابهی در خصوص رمزعبور پیش‌فرض و دسترسی غیرمحدود ارائه شده است.

The Hacker News – گزارش GreyNoise درباره حملات Brute‑Force