I criminali informatici hanno recentemente sfruttato una vecchia vulnerabilità in un'installazione di Adobe ColdFusion di 11 anni fa 9 per assumere il controllo del server ColdFusion in remoto.
Lo scopo dell'attacco era quello di far cadere il Cring ransomware e compromettere altre macchine sulla rete di destinazione, secondo un rapporto Sophos.
"Mentre molte altre macchine sono state "murate" dal ransomware, il server che ospita ColdFusion era parzialmente recuperabile, e Sophos è stata in grado di estrarre prove sotto forma di registri e file dalla macchina,”I ricercatori hanno detto.
Vecchio software, Tecniche sofisticate
Non solo gli aggressori utilizzavano una vulnerabilità piuttosto oscura, ma il server ColdFusion eseguiva Windows Server 2008, che ha avuto il suo fine vita nel gennaio dello scorso anno. Adobe, d'altronde, tirato fuori ColdFusion 9 in 2016. A causa di ciò, né il sistema operativo né il software ColdFusion potevano essere patchati, Sophos ha notato.
L'attacco è un ottimo promemoria di quanto sia fondamentale per gli amministratori IT mantenere aggiornati tutti i sistemi aziendali critici, soprattutto quando si trovano di fronte a Internet pubblico. È piuttosto curioso, anche se, che disprezzano lo sfruttamento di una vecchia falla di sicurezza e del software, gli aggressori hanno usato "tecniche abbastanza sofisticate per nascondere i loro file". Hanno anche iniettato codice in memoria, e hanno nascosto le loro tracce cancellando i registri e altri artefatti.
Vulnerabilità ColdFusion CVE-2010-2861, CVE-2009-3960
Per essere più specifici, gli aggressori hanno utilizzato due specifiche vulnerabilità ColdFusion. CVE-2010-2861, una vulnerabilità di attraversamento di directory, è stato utilizzato per recuperare un file chiamato password.properties dal server. L'altro difetto di ColdFusion sfruttato in questo attacco è CVE-2009-3960, che consente a un utente malintenzionato di iniettare dati tramite un abuso dei protocolli di gestione XML di ColdFusion. Ciò ha consentito all'aggressore di caricare un file sul server ColdFusion eseguendo un POST HTTP nel percorso /flex2gateway/amf sul server, Sophos ha notato.
In 2018, gli hacker hanno sfruttato un'altra vulnerabilità di Adobe ColdFusion, tracciato come CVE-2.018-15.961.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: