Noll
En nation-state cyber-spionage-gruppen är aktivt intrång i Adobe ColdFusion servrar och plantering bakdörrar för den framtida verksamheten, Volexity forskare har berättat ZDNet.
Attackerna har pågått sedan slutet av September och har riktat ColdFusion-servrar som inte uppdateras med säkerhetsfixar som Adobe har släppt två veckor innan, den 11 September.
Det verkar som hackare studerade Adobes September fläckar och listat ut hur man kan utnyttja CVE-2018-15961 till sin fördel.
Klassificeras som en “icke-autentiserade ladda upp fil,” denna sårbarhet accepteras denna APT group (APT står för advanced persistent threat, en annan term som används för att beskriva nation-state cyber-spionage grupper) för att i hemlighet överföra en version av Kina Chopper bakdörr unpatched servrar och ta över hela systemet.
Matthew Meltzer, säkerhetspolitisk analytiker för Volexity, har sagt till ZDNet att den centrala frågan i hjärtat av denna sårbarhet är att Adobe hade ersatt tekniken bakom native ColdFusion WYSIWYG-editor från FCKEditor att CKEditor.
CKEditor är en omarbetad och uppdaterad version av den äldre FCKEditor, men Meltzer säger att när Adobe gjort växla mellan de två inne ColdFusion det av misstag öppnade en oautentiserad ladda upp fil sårbarhet som det ursprungligen lagas i FCKEditor är ColdFusion integration tillbaka i 2009.
Problemet, enligt Meltzer, är att ColdFusion första CKEditor integration presenterade en svagare ladda upp fil svartlista som gjort det möjligt för användare att ladda upp filer JSP ColdFusion servrar. Eftersom ColdFusion kan köra direkt JSP-filer, detta skapade en farlig situation.
“Angriparna observerade vi märkte att .jsp förlängning hade lämnats ut och drog fördel av detta,” Meltzer berättade ZDNet i en intervju i dag.
Adobe insåg sitt misstag och lade till JSP-filer till CKEditor ‘ s file extension ladda upp svarta listan i September patch.
Men denna enkla förändring inte fly APT gruppens medlemmar. Två veckor efter att Adobe ‘ s patch, cyber-spionage-gruppen startade scanning unpatched ColdFusion-servrar, och har varit ladda upp en JSP-version av Kina Chopper bakdörr för att utnyttja och ta över servrar ända sedan dess.
Det är oklart vad som anfallare vill göra med dessa servrar i framtiden, men de är mest sannolikt kommer att användas som mellanstationer områden att vara värd för skadlig kod, skicka spear-phishing, för vattenhål attacker, eller för att dölja andra attacker som en del av ett proxy nätverk –typiskt APT verksamhet.
“Missbruka CVE-2018-15961 är inte svårt, alltså organisationer som kör en sårbar instans av ColdFusion ska uppdatera så snart som möjligt, säger Meltzer varnade.
Forskaren säger att det Volexity har också identifierat fall över sommaren där en grupp av Indonesiska hacktivists har varit defacing webbplatser som finns på ColdFusion servrar.
Medan Meltzer och Volexity har inte haft en chans att se över stockar och artefakter från de drabbade företagen, de tror att denna grupp kan ha använt samma sårbarhet redan innan Adobe lagas det. Deras antagande är baserat på de platser filer som laddas upp under dessa defacements, vilket tyder på otillåten uppladdning.
“Vi har inte observerat missbruk av denna sårbarhet utanför APT aktivitet och eventuellt tillhörande kriminella web förvanskning,” Meltzer berättade för oss, men detta kan ändras i framtiden.
Företaget ger råd till ColdFusion-servern ägare för att dra fördel av den server automatisk uppdatering för att se till att deras servrar ta emot och installera uppdateringar så snart de är tillgängliga. Volexity har också publicerat en teknisk rapport med sina senaste rön.
Bild: Volexity
Relaterade förmåner:
Cisco zero-day utnyttjas i det vilda för att krascha och ladda enheterKambodjas ISPs drabbats av några av de största DDoS-attackerna i landets historiaIntel Cpuer påverkas av nya PortSmash sida-kanal sårbarhetCisco uppdateringar ASR 9000 kanten routing plattform för att bära användare till 5G TechRepublicMicrosoft arbetar på att anpassa Sysinternals till LinuxVirtualBox zero-day publicerades av missnöjda forskareWPA3 Wi-Fi är här, och det är svårare att hacka CNETBrister i self-encrypting Ssd låt angripare att kringgå disk kryptering
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0