Des cybercriminels ont récemment exploité une ancienne vulnérabilité dans une installation vieille de 11 ans d'Adobe ColdFusion 9 pour prendre le contrôle du serveur ColdFusion à distance.
Le but de l'attaque était de faire tomber le Le rançongiciel Cring et compromettre d'autres machines sur le réseau ciblé, selon un rapport Sophos.
"Alors que plusieurs autres machines ont été "brisées" par le ransomware, le serveur hébergeant ColdFusion était partiellement récupérable, et Sophos a pu extraire des preuves sous forme de journaux et de fichiers de la machine,» Les chercheurs.
Ancien logiciel, Techniques sophistiquées
Non seulement les attaquants utilisaient une vulnérabilité assez obscure, mais le serveur ColdFusion exécutait Windows Server 2008, qui a eu sa fin de vie en janvier de l'année dernière. Adobe, d'autre part, a réussi ColdFusion 9 à 2016. Pour cette raison, ni le système d'exploitation ni le logiciel ColdFusion n'ont pu être corrigés, Sophos a noté.
L'attaque est un excellent rappel de l'importance pour les administrateurs informatiques de maintenir à jour tous les systèmes critiques de l'entreprise., surtout quand ceux-ci sont confrontés à l'internet public. c'est assez curieux, bien que, qui méprisent l'exploitation d'une ancienne faille de sécurité et d'un logiciel, les attaquants ont utilisé « des techniques assez sophistiquées pour dissimuler leurs fichiers ». Ils ont également injecté du code dans la mémoire, et dissimulé leurs traces par des journaux de suppression et d'autres artefacts.
Vulnérabilités ColdFusion CVE-2010-2861, CVE-2009-3960
Pour être plus précis, les attaquants ont utilisé deux vulnérabilités ColdFusion spécifiques. CVE-2010-2861, une vulnérabilité de traversée de répertoire, a été utilisé pour récupérer un fichier appelé password.properties du serveur. L'autre faille ColdFusion exploitée dans cette attaque est CVE-2009-3960, qui permet à un attaquant distant d'injecter des données via un abus des protocoles de gestion XML de ColdFusion. Cela a permis à l'attaquant de télécharger un fichier sur le serveur ColdFusion en effectuant un HTTP POST vers le chemin /flex2gateway/amf sur le serveur, Sophos a noté.
Dans 2018, des pirates ont exploité une autre vulnérabilité d'Adobe ColdFusion, suivi comme CVE-2018-15961.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: