サイバー犯罪者は最近、11年前のAdobeColdFusionのインストールで古い脆弱性を悪用しました 9 ColdFusionサーバーをリモートで制御する.
攻撃の目的は、 ランサムウェアを鳴らす ターゲットネットワーク上の他のマシンを危険にさらす, によると ソフォスのレポート.
「他のいくつかのマシンはランサムウェアによって「ブリック」されていましたが, ColdFusionをホストしているサーバーは部分的に回復可能でした, そしてSophosはマシンからログとファイルの形で証拠を引き出すことができました,」研究者は言った.
古いソフトウェア, 洗練されたテクニック
攻撃者が非常にあいまいな脆弱性を使用しただけでなく、ColdFusionサーバーがWindowsServerを実行していました 2008, 昨年1月に寿命が切れました. アドビ, 一方で, 引き離されたColdFusion 9 の 2016. このため, OSもColdFusionソフトウェアにもパッチを適用できませんでした, ソフォソは指摘した.
この攻撃は、IT管理者がすべての重要なビジネスシステムを最新の状態に保つことがいかに重要であるかを思い出させるものです。, 特にこれらが公共のインターネットに直面しているとき. かなり不思議です, けれど, 古いセキュリティの欠陥とソフトウェアを悪用することを軽蔑する, 攻撃者は「かなり洗練された手法を使用してファイルを隠蔽」しました。彼らはまた、メモリにコードを注入しました, 削除ログやその他のアーティファクトによってトラックを隠しました.
ColdFusionの脆弱性CVE-2010-2861, CVE-2009-3960
もう少し詳しく言うと, 攻撃者は2つの特定のColdFusionの脆弱性を使用しました. CVE-2010-2861, ディレクトリトラバーサルの脆弱性, サーバーからpassword.propertiesというファイルを取得するために使用されました. この攻撃で悪用された他のColdFusionの欠陥はCVE-2009-3960です, これにより、リモートの攻撃者がColdFusionのXML処理プロトコルを悪用してデータを挿入できるようになります. これにより、攻撃者はサーバーの/ flex2gateway /amfパスにHTTPPOSTを実行して、ColdFusionサーバーにファイルをアップロードできました。, ソフォソは指摘した.
の 2018, ハッカーが別のAdobeColdFusionの脆弱性を悪用した, として追跡 CVE-2018-15961.