Cyberkriminelle haben kürzlich eine alte Sicherheitslücke in einer 11 Jahre alten Installation von Adobe ColdFusion ausgenutzt 9 um die Kontrolle über den ColdFusion-Server aus der Ferne zu übernehmen.
Der Zweck des Angriffs war es, die Cring-Ransomware und kompromittieren Sie andere Maschinen im Zielnetzwerk, entsprechend ein Sophos-Bericht.
„Während mehrere andere Maschinen von der Ransomware „gemauert“ wurden, der Server, auf dem ColdFusion gehostet wird, war teilweise wiederherstellbar, und Sophos konnte Beweise in Form von Protokollen und Dateien von der Maschine ziehen,“Sagten die Forscher.
Alte Software, Ausgeklügelte Techniken
Angreifer nutzten nicht nur eine ziemlich obskure Schwachstelle, sondern der ColdFusion-Server lief auch unter Windows Server 2008, die im Januar letzten Jahres ausgelaufen ist. Lehmziegel, andererseits, ColdFusion abgezogen 9 in 2016. Deswegen, weder das Betriebssystem noch die ColdFusion-Software konnten gepatcht werden, Sophos bemerkt.
Der Angriff ist eine großartige Erinnerung daran, wie wichtig es für IT-Administratoren ist, alle kritischen Geschäftssysteme auf dem neuesten Stand zu halten, vor allem, wenn diese dem öffentlichen Internet gegenüberstehen. Es ist ziemlich neugierig, obwohl, die das Ausnutzen einer alten Sicherheitslücke und Software verachten, Die Angreifer setzten „ziemlich ausgeklügelte Techniken ein, um ihre Dateien zu verbergen“. Sie haben auch Code in den Speicher eingeschleust, und ihre Spuren durch Löschprotokolle und andere Artefakte verdeckt.
ColdFusion-Sicherheitslücken CVE-2010-2861, CVE-2009-3960
Um genauer zu sein, die Angreifer nutzten zwei spezifische ColdFusion-Schwachstellen. CVE-2010-2861, eine Directory-Traversal-Schwachstelle, wurde verwendet, um eine Datei namens password.properties vom Server abzurufen. Der andere bei diesem Angriff ausgenutzte ColdFusion-Fehler ist CVE-2009-3960, die es einem entfernten Angreifer ermöglicht, Daten durch einen Missbrauch der XML-Handhabungsprotokolle von ColdFusion einzuschleusen. Dadurch konnte der Angreifer eine Datei auf den ColdFusion-Server hochladen, indem er einen HTTP-POST an den Pfad /flex2gateway/amf auf dem Server durchführte, Sophos bemerkt.
In 2018, Hacker nutzten eine weitere Sicherheitslücke in Adobe ColdFusion aus, verfolgt als CVE-2018-15961.