Zero
Un état-nation de cyber-espionnage groupe est activement pirater Adobe ColdFusion serveurs et la plantation des portes dérobées pour les opérations futures, Volexity les chercheurs ont dit ZDNet.
Les attaques ont eu lieu depuis la fin de septembre et ont ciblé les serveurs ColdFusion qui n’ont pas été mis à jour avec les correctifs de sécurité que Adobe a publié deux semaines avant le 11 septembre.
Il semble que les pirates étudié Adobe septembre patchs et compris comment exploiter CVE-2018-15961 à leur avantage.
Classé comme un “non authentifié de téléchargement de fichiers”, cette vulnérabilité permettait à cet APT groupe (APT est l’acronyme de advanced persistent threat, un autre terme utilisé pour décrire l’état-nation de cyber-espionnage groupes) pour subrepticement télécharger une version de la Chine Chopper backdoor sur le non corrigés des serveurs et prendre en charge l’ensemble du système.
Matthieu Meltzer, un analyste de la sécurité pour Volexity, a déclaré à ZDNet que la question centrale au cœur de ce problème est que Adobe a remplacé la technologie derrière le natif de ColdFusion éditeur WYSIWYG de FCKEditor de CKEditor.
CKEditor est une nouvelle version, mise à jour de l’ancienne FCKEditor, mais Meltzer dit que quand Adobe fait le passage entre les deux à l’intérieur de ColdFusion accidentellement ouvert un non authentifié de téléchargement de fichiers vulnérabilité à l’origine patché dans de FCKEditor ColdFusion intégration de retour en 2009.
Le problème, selon Meltzer, c’est que ColdFusion initiale de CKEditor intégration en vedette l’affaiblissement de l’upload de fichier de la liste noire qui permettait aux utilisateurs de télécharger des fichiers JSP sur les serveurs ColdFusion. Depuis ColdFusion peut exécuter en mode natif des fichiers JSP, cela a créé une situation dangereuse.
“Les assaillants, nous avons observé remarqué que l’ .jsp extension avait été laissé de côté, et a profité de ce,” Meltzer dit ZDNet dans une interview aujourd’hui.
Adobe a réalisé son erreur et a ajouté des fichiers JSP pour CKEditor l’extension de fichier téléchargement de la liste noire en septembre du patch.
Mais ce changement n’a pas échappé à l’APT membres du groupe. Deux semaines après Adobe patch, le cyber-espionnage groupe a commencé la numérisation requise pour les serveurs ColdFusion, et avoir envoyé une JSP version de la Chine Chopper porte dérobée pour exploiter et prendre en charge les serveurs depuis.
Il est difficile de savoir ce que les attaquants voulez faire avec ces serveurs dans l’avenir, mais ils sont plus susceptibles d’être utilisées comme zones de transit pour héberger des logiciels malveillants, envoyer spear-phishing, pour l’arrosage des trous attaques, ou de dissimuler d’autres attaques dans le cadre d’un réseau de proxy –APT typique de l’activité.
“Abuser de CVE-2018-15961 n’est pas difficile, donc toutes les organisations de l’exécution d’une instance vulnérable de ColdFusion devrait mettre à jour dès que possible,” Meltzer averti.
Le chercheur dit que Volexity a également identifié des cas au cours de l’été, où un groupe d’Indonésiens hacktivistes a été défigurer les sites hébergés sur les serveurs ColdFusion.
Alors que Meltzer et Volexity n’ai pas eu l’occasion de lire les journaux et les artefacts de sociétés concernés, ils ne croient que ce groupe pourrait avoir utilisé la même vulnérabilité avant même d’Adobe patché. Leur hypothèse est basée sur les emplacements des fichiers téléchargés au cours de ces dégradations, qui suggèrent non autorisé en charge.
“Nous n’avons pas observé de l’abus de cette vulnérabilité à l’extérieur de l’APT activité et, éventuellement criminelles liées au web, l’altération, la” Meltzer nous a dit, mais cela pourrait changer dans l’avenir.
La société conseille le serveur ColdFusion propriétaires de profiter du serveur de mise à jour automatique pour s’assurer que leurs serveurs de recevoir et d’installer les mises à jour dès qu’elles sont disponibles. Volexity a également publié un rapport technique avec ses récentes découvertes.
Image: Volexity
Liés à la couverture de la sécurité:
Cisco zero-day exploitée dans la nature à l’écrasement et recharger les appareilsdu Cambodge Fai frappé par certaines des plus grandes attaques DDoS de l’histoire du paysProcesseurs Intel touché par la nouvelle PortSmash du canal latéral de la vulnérabilitéles mises à jour de Cisco ASR 9000 bord de plate-forme de routage pour réaliser les utilisateurs à 5G TechRepublicMicrosoft travaille sur le portage de Sysinternals pour LinuxVirtualBox “jour zéro” publié par mécontents chercheurWPA3 Wi-Fi est ici, et c’est plus difficile à pirater CNETFailles dans l’auto-chiffrement des disques Ssd laisser les attaquants de contournement de chiffrement de disque
Rubriques Connexes:
Des Logiciels D’Entreprise
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0