Cyberkriminelle udnyttede for nylig en gammel sårbarhed i en 11-årig installation af Adobe ColdFusion 9 at tage kontrol over ColdFusion -serveren eksternt.
Formålet med angrebet var at droppe Cring ransomware og gå på kompromis med andre maskiner på det målrettede netværk, i henhold til en Sophos -rapport.
"Mens flere andre maskiner blev" muret "af ransomware, serveren, der hostede ColdFusion, var delvist genoprettelig, og Sophos var i stand til at trække beviser i form af logfiler og filer fra maskinen,”Siger forskerne.
Gammel software, Sofistikerede teknikker
Angribere brugte ikke kun en ganske uklar sårbarhed, men ColdFusion -serveren kørte Windows Server 2008, som havde sin levetid i januar sidste år. Adobe, på den anden side, trak ColdFusion af 9 i 2016. På grund af det, hverken OS eller ColdFusion -softwaren kunne lappes, Sophos bemærkede.
Angrebet er en god påmindelse om, hvor afgørende det er for it-administratorer at holde alle kritiske forretningssystemer opdaterede, især når disse vender ud mod det offentlige internet. Det er ret nysgerrigt, selv, der foragter at udnytte en gammel sikkerhedsfejl og software, angriberne brugte "temmelig sofistikerede teknikker til at skjule deres filer." De indsprøjtede også kode i hukommelsen, og skjulte deres spor ved at slette logfiler og andre artefakter.
ColdFusion-sårbarheder CVE-2010-2861, CVE-2009-3960
For at være mere specifik, angriberne brugte to specifikke ColdFusion -sårbarheder. CVE-2010-2861, en sårbarhed over tværgående mapper, blev brugt til at hente en fil kaldet password.properties fra serveren. Den anden ColdFusion-fejl, der udnyttes i dette angreb, er CVE-2009-3960, som tillader en fjernangriber at injicere data gennem et misbrug af ColdFusions XML -håndteringsprotokoller. Dette gjorde det muligt for angriberen at uploade en fil til ColdFusion -serveren ved at udføre en HTTP POST til /flex2gateway /amf -stien på serveren, Sophos bemærkede.
I 2018, hackere udnyttede endnu en Adobe ColdFusion -sårbarhed, spores som CVE-2018-15.961.