Los ciberdelincuentes explotaron recientemente una antigua vulnerabilidad en una instalación de Adobe ColdFusion de hace 11 años. 9 para tomar el control del servidor ColdFusion de forma remota.
El propósito del ataque era dejar caer el Cring ransomware y comprometer otras máquinas en la red de destino, de acuerdo a un informe de Sophos.
"Si bien varias otras máquinas fueron" bloqueadas "por el ransomware, el servidor que aloja ColdFusion fue parcialmente recuperable, y Sophos pudo extraer pruebas en forma de registros y archivos de la máquina,”Dijeron los investigadores.
Software antiguo, Técnicas sofisticadas
Los atacantes no solo usaban una vulnerabilidad bastante oscura, sino que el servidor ColdFusion estaba ejecutando Windows Server. 2008, que finalizó su vida útil en enero del año pasado. Adobe, Por otra parte, sacó ColdFusion 9 en 2016. Debido a esto, ni el sistema operativo ni el software ColdFusion se pudieron parchear, Sophos señaló.
El ataque es un gran recordatorio de lo crucial que es para los administradores de TI mantener actualizados todos los sistemas comerciales críticos., especialmente cuando se enfrentan a la Internet pública. Es bastante curioso, aunque, que desprecian explotar una vieja falla de seguridad y software, los atacantes utilizaron "técnicas bastante sofisticadas para ocultar sus archivos". También inyectaron código en la memoria., y ocultó sus huellas mediante registros de eliminación y otros artefactos.
Vulnerabilidades de ColdFusion CVE-2010-2861, CVE-2009-3960
Para ser más específicos, los atacantes utilizaron dos vulnerabilidades específicas de ColdFusion. CVE-2010-2861, una vulnerabilidad de cruce de directorio, se utilizó para recuperar un archivo llamado password.properties del servidor. La otra falla de ColdFusion explotada en este ataque es CVE-2009-3960, que permite a un atacante remoto inyectar datos a través de un abuso de los protocolos de manejo XML de ColdFusion. Esto permitió al atacante cargar un archivo en el servidor ColdFusion mediante la realización de un HTTP POST en la ruta / flex2gateway / amf en el servidor., Sophos señaló.
En 2018, los piratas informáticos explotaron otra vulnerabilidad de Adobe ColdFusion, rastreado como CVE-2018-15.961.