Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (
CISA
) προειδοποιεί για τους χάκερ που εκμεταλλεύονται ενεργά μια κρίσιμη ευπάθεια στο Adobe ColdFusion που προσδιορίζεται ως CVE-2023-26360 για να αποκτήσουν αρχική πρόσβαση σε κυβερνη
τι
κούς διακομιστές.
Το ζήτημα ασφαλείας επιτρέπει την εκτέλεση αυθαίρετου κώδικα σε διακομιστές που εκτελούν την Ενημέρωση Adobe ColdFusion 2018 15 και παλαιότερη, και την Ενημέρωση 2021 5 και παλαιότερη έκδοση. Αξιοποιήθηκε ως μηδενική ημέρα προτού η Adobe το διορθώσει στα μέσα Μαρτίου με την κυκλοφορία του ColdFusion 2018
Update
16 και του 2021 Update 6.
Εκείνη την εποχή, η CISA δημοσίευσε μια ανακοίνωση σχετικά με τους παράγοντες απειλών που εκμεταλλεύονται το ελάττωμα και προέτρεψε τους ομοσπονδιακούς οργανισμούς και τις κρατικές υπηρεσίες να εφαρμόσουν τις διαθέσιμες ενημερώσεις ασφαλείας.
Σε μια προειδοποίηση
σήμερα
, η Υπηρεσία Κυβερνοάμυνας της Αμερικής προειδοποιεί ότι το CVE-2023-26360 εξακολουθεί να χρησιμοποιείται σε επιθέσεις, παρουσιάζοντας περιστατικά από τον Ιούνιο που επηρέασαν δύο συστήματα ομοσπονδιακών υπηρεσιών.
“Και στα δύο περιστατικά, το Microsoft Defender for Endpoint (MDE) ειδοποίησε για την πιθανή εκμετάλλευση μιας ευπάθειας του Adobe ColdFusion σε διακομιστές ιστού που αντιμετωπίζουν δημόσια στο περιβάλλον προπαρ
αγωγή
ς της εταιρείας” –
CISA
Η υπηρεσία σημειώνει ότι «και οι δύο διακομιστές εκτελούσαν ξεπερασμένες εκδόσεις λογισμικού που είναι ευάλωτες σε διάφορα CVE».
Η CISA λέει ότι οι παράγοντες της απειλής αξιοποίησαν την ευπάθεια για να ρίξουν κακόβουλο λογισμικό χρησιμοποιώντας εντολές HTTP POST στη διαδρομή καταλόγου που σχετίζεται με το ColdFusion.
Το πρώτο περιστατικό καταγράφηκε στις 26 Ιουνίου και βασίστηκε στην κρίσιμη ευπάθεια για την παραβίαση ενός διακομιστή που εκτελούσε το Adobe ColdFusion v2016.0.0.3.
Οι εισβολείς πραγματοποίησαν απαρίθμηση διεργασιών μαζί με ελέγχους δικτύου και εγκατέστησαν ένα κέλυφος ιστού (
config.jsp
) που τους επέτρεψε να εισάγουν κώδικα σε ένα αρχείο διαμόρφωσης ColdFusion και να εξάγουν διαπιστευτήρια.
Οι δραστηριότητές τους περιελάμβαναν τη διαγραφή αρχείων που χρησιμοποιήθηκαν στην επίθεση για να κρύψουν την παρουσία τους και τη δημιουργία αρχείων στον κατάλογο C:IBM για να διευκολύνουν τις κακόβουλες λειτουργίες που δεν ανιχνεύονται.
Εργαλεία που χρησιμοποίησε ο εισβολέας στην πρώτη επίθεση
(CISA)
Το δεύτερο περιστατικό συνέβη στις 2 Ιουνίου όταν οι χάκερ εκμεταλλεύτηκαν το CVE-2023-26360 σε έναν διακομιστή που εκτελούσε το Adobe ColdFusion v2021.0.0.2.
Σε αυτήν την περίπτωση, οι εισβολείς συγκέντρωσαν πληροφορίες λογαριασμού χρήστη πριν αποθέσουν ένα αρχείο κειμένου που αποκωδικοποιήθηκε ως trojan απομακρυσμένης πρόσβασης (
d.jsp
).
Στη συνέχεια, προσπάθησαν να διεισδύσουν αρχεία μητρώου και πληροφορίες διαχείρισης λογαριασμού ασφαλείας (SAM). Οι εισβολείς έκαναν κατάχρηση των διαθέσιμων εργαλείων ασφαλείας για να αποκτήσουν πρόσβαση στο SYSVOL, έναν ειδικό κατάλογο που υπάρχει σε κάθε ελεγκτή τομέα σε έναν τομέα.
Και στις δύο περιπτώσεις, οι επιθέσεις εντοπίστηκαν και μπλοκαρίστηκαν προτού οι εισβολείς μπορέσουν να διεισδύσουν δεδομένα ή να μετακινηθούν πλευρικά και τα παραβιασμένα περιουσιακά στοιχεία αφαιρέθηκαν από τα κρίσιμα δίκτυα εντός 24 ωρών.
Η ανάλυση της CISA κατηγοριοποιεί τις επιθέσεις ως προσπάθειες αναγνώρισης. Ωστόσο, είναι άγνωστο εάν ο ίδιος παράγοντας απειλής βρίσκεται πίσω από τις δύο εισβολές.
Για να μετριαστεί ο κίνδυνος, η CISA συνιστά την αναβάθμιση του ColdFusion στην πιο πρόσφατη διαθέσιμη έκδοση, την εφαρμογή τμηματοποίησης δικτύου, τη δημιουργία τείχους προστασίας ή WAF και την επιβολή πολιτικών εκτέλεσης υπογεγραμμένου λογισμικού.
VIA:
bleepingcomputer.com