Os cibercriminosos exploraram recentemente uma vulnerabilidade antiga em uma instalação de 11 anos do Adobe ColdFusion 9 para assumir o controle do servidor ColdFusion remotamente.
O objetivo do ataque era derrubar o Ransomware cring e comprometer outras máquinas na rede alvo, de acordo com um relatório Sophos.
“Enquanto várias outras máquinas foram" bloqueadas "pelo ransomware, o servidor que hospeda ColdFusion foi parcialmente recuperável, e a Sophos foi capaz de extrair evidências na forma de logs e arquivos da máquina,”Disseram os pesquisadores.
Software Antigo, Técnicas Sofisticadas
Os invasores não estavam apenas usando uma vulnerabilidade bastante obscura, mas o servidor ColdFusion estava executando o Windows Server 2008, que teve seu fim de vida em janeiro do ano passado. Adobe, por outro lado, tirou ColdFusion 9 no 2016. Por causa disso, nem o sistema operacional nem o software ColdFusion puderam ser corrigidos, Sophos notou.
O ataque é um grande lembrete de como é crucial para os administradores de TI manter todos os sistemas críticos de negócios atualizados, especialmente quando estes estão voltados para a Internet pública. É bastante curioso, Apesar, que desprezam a exploração de uma falha de segurança e software antigos, os invasores usaram “técnicas bastante sofisticadas para ocultar seus arquivos”. Eles também injetaram código na memória, e esconderam seus rastros por meio de registros de exclusão e outros artefatos.
Vulnerabilidades do ColdFusion CVE-2010-2861, CVE-2009-3960
Para ser mais específico, os atacantes usaram duas vulnerabilidades específicas do ColdFusion. CVE-2010-2861, uma vulnerabilidade de travessia de diretório, foi usado para recuperar um arquivo chamado password.properties do servidor. A outra falha do ColdFusion explorada neste ataque é CVE-2009-3960, que permite que um atacante remoto injete dados por meio de um abuso dos protocolos de manipulação de XML do ColdFusion. Isso permitiu que o invasor carregasse um arquivo para o servidor ColdFusion executando um POST HTTP para o caminho / flex2gateway / amf no servidor, Sophos notou.
No 2018, hackers exploraram outra vulnerabilidade do Adobe ColdFusion, rastreado como CVE-2018-15961.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: