Cybercriminelen maakten onlangs misbruik van een oude kwetsbaarheid in een 11 jaar oude installatie van Adobe ColdFusion 9 om de ColdFusion-server op afstand te bedienen.
Het doel van de aanval was om de Cring-ransomware en andere machines op het beoogde netwerk compromitteren, volgens een Sophos-rapport.
"Terwijl verschillende andere machines werden "gemetseld" door de ransomware, de server die ColdFusion host, was gedeeltelijk herstelbaar, en Sophos was in staat om bewijs in de vorm van logs en bestanden van de machine te halen,”Aldus de onderzoekers.
Oude software, Geavanceerde technieken
Aanvallers gebruikten niet alleen een nogal obscure kwetsbaarheid, maar de ColdFusion-server draaide Windows Server 2008, die in januari vorig jaar aan het einde van zijn levensduur was. Adobe, anderzijds, haalde ColdFusion 9 in 2016. Door dit, noch het besturingssysteem, noch de ColdFusion-software konden worden gepatcht, Sophos merkte op:.
De aanval is een geweldige herinnering aan hoe cruciaal het is voor IT-beheerders om alle kritieke bedrijfssystemen up-to-date te houden, vooral wanneer deze worden geconfronteerd met het openbare internet. Het is nogal curieus, hoewel, die een hekel hebben aan het misbruiken van een oude beveiligingsfout en software, de aanvallers gebruikten "redelijk geavanceerde technieken om hun bestanden te verbergen." Ze hebben ook code in het geheugen geïnjecteerd, en hun sporen verborgen door verwijderingslogboeken en andere artefacten.
ColdFusion-beveiligingslekken CVE-2010-2861, CVE-2009-3960
Meer specifiek, de aanvallers gebruikten twee specifieke ColdFusion-kwetsbaarheden. CVE-2010-2861, een kwetsbaarheid voor het doorkruisen van directory's, werd gebruikt om een bestand met de naam password.properties van de server op te halen. De andere ColdFusion-fout die bij deze aanval wordt uitgebuit, is CVE-2009-3960, waarmee een aanvaller op afstand gegevens kan injecteren door misbruik te maken van de XML-verwerkingsprotocollen van ColdFusion. Hierdoor kon de aanvaller een bestand uploaden naar de ColdFusion-server door een HTTP POST uit te voeren naar het /flex2gateway/amf-pad op de server, Sophos merkte op:.
In 2018, hackers maakten misbruik van nog een Adobe ColdFusion-kwetsbaarheid, gevolgd als CVE-2018-15.961.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: