Adobe ColdFusion-servers onder aanval van APT groep

0
44

Nul

adobe-coldfusion.png

Een natie-staat cyber-spionage groep is actief op het hacken van Adobe ColdFusion-servers en het planten van backdoors voor toekomstige operaties, Volexity onderzoekers hebben verteld ZDNet.

De aanslagen hebben plaatsgevonden sinds eind September en hebben gerichte ColdFusion-servers die niet zijn bijgewerkt met de beveiliging-patches Adobe bracht twee weken eerder, op 11 September.

Het blijkt dat hackers studeerde Adobe September patches en bedacht hoe het te exploiteren CVE-2018-15961 hun voordeel.

Geclassificeerd als een “niet-geverifieerde bestand uploaden” deze kwetsbaarheid toegestaan deze APT groep (APT staat voor advanced persistent threat, een andere term gebruikt voor het beschrijven van de natie-staat cyber-spionage groepen) stiekem uploaden van een versie van de China Chopper backdoor op onbehandelde servers en de overname van het gehele systeem.

Matthew Meltzer, een security analyst voor Volexity, heeft verteld ZDNet dat de kern van het probleem bij de kern van dit probleem is dat Adobe had vervangen van de technologie achter de native ColdFusion WYSIWYG editor van FCKEditor naar CKEditor.

CKEditor is een vernieuwde en bijgewerkte versie van de oudere FCKEditor, maar Meltzer zegt dat wanneer Adobe maakte de overstap tussen de twee in ColdFusion het opent per ongeluk een niet-geverifieerde bestand uploaden kwetsbaarheid die het oorspronkelijk patched in FCKEditor de ColdFusion-integratie terug in 2009.

Het probleem, volgens Meltzer, is dat ColdFusion eerste CKEditor integratie gekenmerkt door een zwakkere bestand uploaden blacklist dat gebruikers toeliet om te uploaden JSP-bestanden op ColdFusion-servers. Sinds ColdFusion native kan uitvoeren JSP-bestanden, hierdoor ontstond een gevaarlijke situatie.

“De aanvallers zagen we gemerkt dat de .jsp uitbreiding had gelaten en nam voordeel van deze,” Meltzer vertelde ZDNet in een interview vandaag.

Adobe besefte zijn fout en toegevoegd JSP-bestanden naar CKEditor bestanden met de extensie te uploaden zwarte lijst in September van de patch.

Maar deze simpele verandering is niet aan de APT groep leden. Twee weken na de Adobe-patch, de cyber-spionage-groep begonnen met het scannen van voor de niet gecorrigeerde ColdFusion-servers, en zijn het uploaden van een JSP-versie van de China Chopper achterdeur te benutten en over te nemen van servers sindsdien.

Het is onduidelijk wat de aanvallers wilt doen met deze servers in de toekomst, maar ze zijn het meest waarschijnlijk zal worden gebruikt als kleedruimtes en hosten van malware, het verzenden van spear-phishing, voor drinkplaats-aanvallen, of om te verhullen andere aanvallen als onderdeel van een proxy-netwerk –typisch APT activiteit.

“Misbruik van CVE-2018-15961 is niet moeilijk, dus geen organisaties runnen van een kwetsbare aanleg van ColdFusion moet de update zo snel als mogelijk,” Meltzer gewaarschuwd.

De onderzoeker zegt dat Volexity heeft ook aangegeven gevallen gedurende de zomer, waar een groep van Indonesische hacktivisten is defacing van websites gehost op ColdFusion-servers.

Terwijl Meltzer en Volexity hebben niet de kans gehad om logboeken en artefacten uit de getroffen bedrijven, zij geloven dat deze groep zou kunnen hebben gebruikt dezelfde kwetsbaarheid zelfs voor Adobe patches. Hun aanname is gebaseerd op de locaties van de bestanden die zijn geupload tijdens deze defacements, die suggereren ongeautoriseerde downloads.

“We hebben niet waargenomen misbruik van deze kwetsbaarheid buiten de APT-activiteit en eventueel gerelateerde strafbare website defacement,” Meltzer vertelde ons, maar dit zou kunnen veranderen in de toekomst.

Het bedrijf adviseert ColdFusion server eigenaren profiteren van de server van de automatische update-functie om ervoor te zorgen dat hun servers ontvangen en installeren van updates zodra ze beschikbaar zijn. Volexity publiceerde ook een technisch rapport met de meest recente bevindingen.

coldfusion-update-settings.png
Afbeelding: Volexity

Verwante zekerheid:

Cisco zero-day in het wild misbruik te crashen en laden van apparatenCambodja Isp ‘s getroffen door enkele van de grootste DDoS-aanvallen in de geschiedenis van het landIntel Cpu’ s beïnvloed door nieuwe PortSmash side-channel kwetsbaarheidCisco updates ASR 9000 rand routing platform te dragen gebruikers 5G TechRepublicMicrosoft werken aan het porten van Sysinternals om Linuxin VirtualBox zero-day gepubliceerd door ontevreden onderzoekerWPA3 Wi-Fi is hier, en het is moeilijker om te kraken CNETGebreken in de self-encrypting Ssd ‘ s laat aanvallers bypass schijf encryptie

Verwante Onderwerpen:

Enterprise Software

Beveiliging TV

Data Management

CXO

Datacenters

0