Adobe ColdFusion-servere under angreb fra APT-gruppen

0
37

Nul

adobe-coldfusion.png

En nation-state cyber-spionage-gruppen er aktivt hacking ind i Adobe ColdFusion servere og plantning bagdøre for den fremtidige drift, Volexity forskere har fortalt ZDNet.

Angrebene har fundet sted siden slutningen af September og har målrettet ColdFusion servere, som ikke var opdateret med sikkerhedsrettelser, at Adobe har udgivet to uger før, på September 11.

Det ser ud til, at hackere har studeret Adobe September, patches og regnede ud, hvordan til at udnytte CVE-2018-15961 til deres fordel.

Klassificeret som en “ikke-godkendt fil upload,” denne svaghed må dette APT-gruppen (APT står for ” advanced persistent threat, en anden term, der anvendes til at beskrive nation-state cyber-spionage grupper) til i al hemmelighed at uploade en version af Kina Chopper bagdør på den uændrede servere og overtage hele systemet.

Matthew Meltzer, en sikkerhed analytiker for Volexity, har fortalt ZDNet, at det centrale spørgsmål i hjertet af denne svaghed er, at Adobe havde erstattet teknologien bag de indfødte ColdFusion WYSIWYG-editoren FCKEditor fra at CKEditor.

CKEditor er et moderniseret og opdateret version af den ældre FCKEditor, men Meltzer siger, at når Adobe gjort skifte mellem de to inde i ColdFusion det ved et uheld har åbnet for en ikke-godkendt fil upload en svaghed, at det oprindeligt lappet i FCKEditor er ColdFusion integration tilbage i 2009.

Problemet, ifølge Meltzer, er, at ColdFusion oprindelige CKEditor integration fremhævede en svagere fil upload blacklist, der tillod brugerne at uploade JSP-filer på ColdFusion-servere. Da ColdFusion kan selvstændigt udføre JSP-filer, dette skabte en farlig situation.

“De angribere, vi har observeret bemærket, at .jsp udvidelse var blevet efterladt ud og tog fordel af dette,” Meltzer fortalte ZDNet i et interview i dag.

Adobe indså sin fejl og tilføjet JSP-filer til CKEditor ‘ s file extension upload blackliste i September måneds patch.

Men denne simple ændring ikke undslippe APT gruppens medlemmer. To uger efter, at Adobe ‘ s patch, cyber-spionage-gruppen begyndte at scanne for unpatched ColdFusion-servere, og har været uploade en JSP-version af Kina Chopper bagdør til at udnytte og tage over servere lige siden.

Det er uklart, hvad angribere vil gøre med disse servere i fremtiden, men de er mest sandsynligt går at blive brugt som mellemstation områder til at være vært for malware, skal du sende spear-phishing, for watering hole-angreb, eller til at skjule andre angreb som en del af en proxy-netværket-typisk APT aktivitet.

“Misbruge CVE-2018-15961 er ikke svært, således at alle organisationer, der kører en sårbar forekomst af ColdFusion bør opdatere så hurtigt som muligt,” Meltzer advaret.

Forskeren siger, at Volexity har også identificeret en række sager over sommeren, hvor en gruppe Indonesiske hacktivists har været defacing hjemmesider, der er hostet på ColdFusion-servere.

Mens Meltzer og Volexity har ikke haft en chance for at gennemgå logfiler og artefakter fra de berørte selskaber, at de tror på, at denne gruppe har måske brugt den samme sårbarhed, selv før Adobe lappet det. Deres antagelse er baseret på placeringen af filer, der er uploadet under disse defacements, der tyder på, at uautoriserede overførsler.

“Vi har ikke observeret misbrug af denne svaghed, uden for APT aktivitet og eventuelt relaterede strafbare web defacement,” Meltzer fortalte os, men det kan ændre sig i fremtiden.

Virksomheden rådgiver ColdFusion-serveren, ejere til at drage fordel af serveren automatisk update-funktionen til at sørge for at deres servere, modtage og installere opdateringer, så snart de er tilgængelige. Volexity har også udgivet en teknisk rapport med sine seneste resultater.

coldfusion-update-settings.png
Billede: Volexity

Relaterede sikkerhed dækning:

Cisco nul-dag udnyttes i naturen til at gå ned, og læg enhederCambodja ISPs ramt af nogle af de største DDoS-angreb i landets historieIntel Cpu ‘ er, der påvirkes af nye PortSmash side-kanal sårbarhedCisco opdateringer ASR 9000 kant routing platform til at bære brugere til 5G TechRepublicMicrosoft arbejder på portering Sysinternals til LinuxVirtualBox zero-day udgivet af utilfredse forskerWPA3 Wi-Fi er her, og det er sværere at hacke CNETFejl i self-encrypting Ssd ‘ lad fjernangribere at omgå disk kryptering

Relaterede Emner:

Virksomhedens Software

Sikkerhed-TV

Data Management

CXO

Datacentre

0