导 读
美国网络安全和基础设施安全局 (CISA) 警告黑客积极利用 Adobe ColdFusion 中的一个关键漏洞(CVE-2023-26360)来获取对政府服务器的初始访问权限。
该安全问题允许在运行 Adobe ColdFusion 2018 Update 15 及更早版本以及 2021 Update 5 及更早版本的服务器上执行任意代码。在 Adobe 在 3 月中旬发布 ColdFusion 2018 Update 16 和 2021 Update 6 修复该问题之前,它曾被用作0day漏洞。
当时,CISA 发布了有关黑客组织利用该缺陷的通知(https://www.bleepingcomputer.com/news/security/cisa-warns-of-adobe-coldfusion-bug-exploited-as-a-zero-day/),并敦促联邦组织和国家服务机构应用安全更新。
在今天的警报中,美国网络安全与基础设施安全局警告称,CVE-2023-26360 仍在攻击中被利用,并展示了 6 月份影响两个联邦机构系统的事件。
“在这两起事件中,Microsoft Defender for Endpoint (MDE) 都警告称,该机构的预生产环境中面向公众的 Web 服务器上可能存在 Adobe ColdFusion 漏洞被利用的情况” - CISA
该机构指出,“两台服务器都运行过时的软件版本,这些软件容易受到各种 CVE 的攻击。”
CISA 表示,黑客组织利用该漏洞,使用 HTTP POST 命令将恶意软件投放到与 ColdFusion 关联的目录路径中。
第一起事件发生在 6 月 26 日,利用严重漏洞破坏了运行 Adobe ColdFusion v2016.0.0.3 的服务器。
攻击者进行进程枚举和网络检查,并安装了一个 Web shell ( config.jsp ),允许他们将代码插入 ColdFusion 配置文件并提取凭据。
他们的活动包括删除攻击中使用的文件以隐藏其存在,以及在 C:IBM 目录中创建文件以避免恶意操作不被发现。
攻击者在第一次攻击中使用的工具 (CISA)
第二起事件发生在 6 月 2 日,当时黑客在运行 Adobe ColdFusion v2021.0.0.2 的服务器上利用了 CVE-2023-26360。
在这种情况下,攻击者在删除解码为远程访问木马 ( d.jsp ) 的文本文件之前收集了用户帐户信息。
接下来,他们试图窃取注册表文件和安全帐户管理器(SAM)信息。攻击者滥用可用的安全工具来访问 SYSVOL,这是域中每个域控制器上都存在的特殊目录。
在这两起事件中,安全人员都在入侵者能够窃取数据或横向移动之前检测到并阻止了攻击,并在 24 小时内将受感染的资产从关键网络中删除。
CISA 的分析将这些攻击归类为侦察活动。然而,尚不清楚这两次入侵是否是同一攻击者所为。
为了降低风险,CISA 建议将 ColdFusion 升级到最新可用版本,应用网络分段,设置防火墙或 WAF,并强制执行签名的软件执行策略。
参考链接:https://www.bleepingcomputer.com/news/security/hackers-breach-us-govt-agencies-using-adobe-coldfusion-exploit/
今日安全资讯速递
APT事件
Advanced Persistent Threat
Agent Racoon 后门针对中东、非洲和美国目标
https://thehackernews.com/2023/12/agent-racoon-backdoor-targets.html
新APT组织“AeroBlade”出现在对美国航空航天的间谍攻击中
https://thehackernews.com/2023/12/new-threat-actor-aeroblade-emerges-in.html
黑客利用 Adobe ColdFusion 漏洞入侵美国政府机构
https://www.bleepingcomputer.com/news/security/hackers-breach-us-govt-agencies-using-adobe-coldfusion-exploit/
微软警告俄罗斯 APT28 组织利用 Outlook 漏洞访问 Exchange服务器
https://www.infosecurity-magazine.com/news/russian-apt28-exploits-outlook-bug/
与伊朗有关的黑客声称泄露了以色列医院的大量文件
https://therecord.media/ziv-hospital-israel-hackers-claim-to-leak-data
一般威胁事件
General Threat Incidents
Google Play 上的 SpyLoan 恶意网贷软件下载量达 1200 万次
https://www.bleepingcomputer.com/news/security/spyloan-android-malware-on-google-play-downloaded-12-million-times/
俄罗斯针对乌克兰、美国和德国的利用AI合成虚假信息的网络水军传播行动被披露
https://thehackernews.com/2023/12/russias-ai-powered-disinformation.html
专家警告针对iPhone的假锁定模式攻击
https://thehackernews.com/2023/12/warning-for-iphone-users-experts-warn.html
P2PInfect 恶意软件变体针对 IoT 设备
https://www.iottechnews.com/news/2023/dec/04/p2pinfect-malware-variant-targets-iot-devices/
财务软件提供商 Tipalti 正在调查涉嫌勒索软件攻击的事件
https://therecord.media/tipalti-alleged-ransomware-attack
基因检测公司 23andMe 表示,黑客获取了其 690 万名会员的个人信息
https://www.securityweek.com/23andme-says-hackers-saw-data-from-millions-of-users/
针对美国大学的勒索软件攻击激增,德堡大学警告数据泄露
https://therecord.media/depauw-university-warns-of-data-breach-ransomware-attack
GitHub 上 15,000 个 Go 模块存储库容易遭受 Repojacking 攻击
https://thehackernews.com/2023/12/15000-go-module-repositories-on-github.html
漏洞事件
Vulnerability Incidents
10 个未修补的 Loytec 楼宇自动化产品漏洞的详细信息在发现两年后被披露
https://www.securityweek.com/unpatched-loytec-building-automation-flaws-disclosed-2-years-after-discovery/
谷歌解决 Chrome 中的0day漏洞(CVE-2023-6345)
https://gridinsoft.com/blogs/google-addresses-0day-vulnerability/
2023 年 12 月安全更新修复了 Android 中的 94 个漏洞
https://www.securityweek.com/94-vulnerabilities-patched-in-android-with-december-2023-security-updates/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):黑客利用 Adobe ColdFusion 漏洞入侵美国政府机构
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论