黑客利用 ColdFusion 漏洞入侵联邦机构服务器

2023年12月11日16:27:19评论14 views字数 1138阅读3分47秒阅读模式

更多全球网络安全资讯尽在邑安全

美国网络安全和基础设施安全局 (CISA) 警告称，身份不明的威胁参与者正在积极利用高严重性的 Adobe ColdFusion 漏洞来获取对政府服务器的初始访问权限。

CISA 表示：“ColdFusion 中的漏洞 (CVE-2023-26360) 表现为不正确的访问控制问题，利用此 CVE 可能会导致任意代码执行。”并补充说，一个未透露姓名的联邦机构在 2023 年 6 月至 7 月期间成为攻击目标。

该缺陷影响 ColdFusion 2018（Update 15 及更早版本）和 ColdFusion 2021（Update 5 及更早版本）。该问题已在分别于 2023 年 3 月 14 日发布的版本 Update 16 和 Update 6 中得到解决。

一天后，CISA 引用了在野外积极利用的证据，将其添加到已知被利用的漏洞 (KEV) 目录中。Adobe 在当时发布的一份公告中表示，它意识到该漏洞“在非常有限的攻击中被利用”。

该机构指出，至少有两台面向公众的服务器因该缺陷而受到损害，这两台服务器都运行着过时的软件版本。

CISA 指出：“此外，威胁行为者在受感染的 Web 服务器上发起了各种命令；利用的漏洞允许威胁行为者使用 HTTP POST 命令将恶意软件投放到与 ColdFusion 关联的目录路径中。”

有证据表明，恶意活动是为了绘制更广泛的网络而进行的侦察活动，尽管尚未观察到横向移动或数据泄露。

在其中一起事件中，我们观察到攻击者遍历文件系统并将各种工件上传到 Web 服务器，包括能够导出 Web 浏览器 cookie 的二进制文件以及旨在解密 ColdFusion 数据源密码的恶意软件。

2023 年 6 月上旬记录的第二个事件涉及部署远程访问木马，该木马是ByPassGodzilla Web shell的修改版本，“利用 JavaScript 加载程序来感染设备，并需要与攻击者控制的服务器进行通信才能执行操作。”

攻击者还尝试窃取 Windows 注册表文件以及从命令和控制 (C2) 服务器下载数据，但未成功。

CISA 表示：“在这起事件中，分析强烈表明，威胁行为者可能通过 Web shell 界面查看了 ColdFusion Seed.properties 文件中包含的数据。”

“seed.properties 文件包含用于加密密码的种子值和加密方法。种子值还可用于解密密码。在受害者系统上没有发现恶意代码，表明威胁行为者试图使用在 Seed.properties 文件中找到的值。”

原文来自:thehackernews.com

原文链接:https://thehackernews.com/2023/12/hackers-exploited-coldfusion.html

原文始发于微信公众号（邑安全）：黑客利用 ColdFusion 漏洞入侵联邦机构服务器

国科ctf python脚本 ctf常用python库