Adobe ColdFusion server sotto attacco da APT gruppo

0
49

Zero

adobe-coldfusion.png

Una nazione-stato di cyber-spionaggio gruppo è attivamente hacking in Adobe ColdFusion server e di impianto di backdoor per operazioni future, Volexity i ricercatori hanno detto a ZDNet.

Gli attacchi hanno avuto luogo dalla fine di settembre e hanno preso di mira i server ColdFusion che non sono stati aggiornati con le patch di sicurezza che Adobe ha rilasciato due settimane prima, l ‘ 11 settembre.

Sembra che gli hacker studiato Adobe settembre patch e capito come sfruttare le vulnerabilità CVE-2018-15961 a loro vantaggio.

Classificata come “non autenticato il caricamento del file,” questa vulnerabilità ha permesso a questo APT gruppo (APT è l’acronimo di advanced persistent threat, un altro termine usato per descrivere la nazione-stato il cyber-spionaggio gruppi) di surrettiziamente l’upload di una versione di China Chopper backdoor sul patch server e prendere in consegna l’intero sistema.

Matteo Meltzer, un analista di sicurezza per Volexity, ha detto a ZDNet che il nocciolo della questione: il cuore di questa vulnerabilità è che Adobe aveva sostituito la tecnologia dietro il nativo di ColdFusion WYSIWYG editor FCKEditor di CKEditor.

CKEditor è una rinnovata e aggiornata versione del vecchio FCKEditor, ma Meltzer dice che quando Adobe fatto il passaggio tra i due all’interno di ColdFusion si apre per sbaglio non autenticata di caricamento di file di vulnerabilità che originariamente inserite nel FCKEditor è ColdFusion integrazione nel 2009.

Il problema, secondo Meltzer, è che ColdFusion iniziale di CKEditor integrazione caratterizzato da una più debole upload di file blacklist, che consentiva agli utenti di caricare file JSP sul server ColdFusion. Dal ColdFusion in modo nativo consente di eseguire file JSP, questo ha creato una situazione di pericolo.

“Gli attaccanti che abbiamo osservato notato che l’ .jsp estensione era stato lasciato fuori e ha approfittato di questo,” Meltzer detto a ZDNet in un’intervista oggi.

Adobe capito il suo errore e ha aggiunto JSP file di CKEditor estensione del file di upload blacklist nel settembre del patch.

Ma questo semplice cambiamento non è sfuggito l’APT membri del gruppo. Due settimane dopo di Adobe patch, il cyber-spionaggio gruppo ha iniziato la scansione per patch server ColdFusion, e sono stato il caricamento di una pagina JSP versione di China Chopper backdoor per sfruttare e prendere in consegna i server da allora.

Non è chiaro ciò che gli aggressori vogliono fare con questi server in futuro, ma sono probabilmente andando a essere utilizzati come aree di sosta per ospitare malware, inviare spear-phishing, per il foro di irrigazione attacchi, o per mascherare altri attacchi come parte di un proxy di rete –tipica attività APT.

“Abuso di CVE-2018-15961 non è difficile, dunque, che le organizzazioni che eseguono un vulnerabili istanza di ColdFusion dovrebbe aggiornare il più presto possibile”, Meltzer ha avvertito.

Il ricercatore dice che Volexity ha anche individuato i casi oltre il periodo estivo, dove un gruppo di Indonesiani hacktivisti è stato deturpazione di siti web ospitati su server ColdFusion.

Mentre Meltzer e Volexity non hanno avuto la possibilità di rivedere i registri e manufatti le aziende colpite, non credo che questo gruppo abbia usato la stessa vulnerabilità, anche prima di Adobe patch. La loro assunzione è in base alle posizioni dei file caricati durante questi sfregi, che suggeriscono di non autorizzate upload.

“Non abbiamo osservato abuso di questa vulnerabilità, al di fuori delle attività APT e possibilmente correlati penale web defacement,” Meltzer ci ha detto, ma questo potrebbe cambiare in futuro.

L’azienda consiglia di ColdFusion server proprietari di sfruttare il server di funzionalità di aggiornamento automatico per assicurarsi che i loro server ricevere e installare gli aggiornamenti non appena disponibili. Volexity ha anche pubblicato una relazione tecnica con i risultati più recenti.

coldfusion-update-settings.png
Immagine: Volexity

Relative la copertura di sicurezza:

Cisco zero-day sfruttata per crash e ricaricare dispositiviCambogia Isp colpito da alcuni dei più grandi attacchi DDoS della storia del paese,le Cpu Intel influenzato dalle nuove PortSmash canale laterale vulnerabilitàCisco aggiornamenti ASR 9000 bordo piattaforma di routing per portare gli utenti a 5G TechRepublicMicrosoft a lavorare sul porting di Sysinternals per LinuxVirtualBox zero-day pubblicato da scontenti ricercatoreWPA3 Wi-Fi è qui, ed è più difficile da hackerare CNETDifetti self-encrypting drive Ssd di lasciare gli attaccanti bypassare la crittografia del disco

Argomenti Correlati:

Enterprise Software

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati

0