Cyberkriminelle udnyttede for nylig en gammel sårbarhed i en 11-årig installation af Adobe ColdFusion 9 at tage kontrol over ColdFusion -serveren eksternt.
Formålet med angrebet var at droppe Cring ransomware og gå på kompromis med andre maskiner på det målrettede netværk, i henhold til en Sophos -rapport.
"Mens flere andre maskiner blev" muret "af ransomware, serveren, der hostede ColdFusion, var delvist genoprettelig, og Sophos var i stand til at trække beviser i form af logfiler og filer fra maskinen,”Siger forskerne.
Gammel software, Sofistikerede teknikker
Angribere brugte ikke kun en ganske uklar sårbarhed, men ColdFusion -serveren kørte Windows Server 2008, som havde sin levetid i januar sidste år. Adobe, på den anden side, trak ColdFusion af 9 i 2016. På grund af det, hverken OS eller ColdFusion -softwaren kunne lappes, Sophos bemærkede.
Angrebet er en god påmindelse om, hvor afgørende det er for it-administratorer at holde alle kritiske forretningssystemer opdaterede, især når disse vender ud mod det offentlige internet. Det er ret nysgerrigt, selv, der foragter at udnytte en gammel sikkerhedsfejl og software, angriberne brugte "temmelig sofistikerede teknikker til at skjule deres filer." De indsprøjtede også kode i hukommelsen, og skjulte deres spor ved at slette logfiler og andre artefakter.
ColdFusion-sårbarheder CVE-2010-2861, CVE-2009-3960
For at være mere specifik, angriberne brugte to specifikke ColdFusion -sårbarheder. CVE-2010-2861, en sårbarhed over tværgående mapper, blev brugt til at hente en fil kaldet password.properties fra serveren. Den anden ColdFusion-fejl, der udnyttes i dette angreb, er CVE-2009-3960, som tillader en fjernangriber at injicere data gennem et misbrug af ColdFusions XML -håndteringsprotokoller. Dette gjorde det muligt for angriberen at uploade en fil til ColdFusion -serveren ved at udføre en HTTP POST til /flex2gateway /amf -stien på serveren, Sophos bemærkede.
I 2018, hackere udnyttede endnu en Adobe ColdFusion -sårbarhed, spores som CVE-2018-15.961.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: