黑客利用 ColdFusion 漏洞入侵联邦机构服务器

admin 2023年12月11日16:27:19评论13 views字数 1138阅读3分47秒阅读模式
更多全球网络安全资讯尽在邑安全

黑客利用 ColdFusion 漏洞入侵联邦机构服务器

美国网络安全和基础设施安全局 (CISA) 警告称,身份不明的威胁参与者正在积极利用高严重性的 Adobe ColdFusion 漏洞来获取对政府服务器的初始访问权限。
CISA 表示:“ColdFusion 中的漏洞 (CVE-2023-26360) 表现为不正确的访问控制问题,利用此 CVE 可能会导致任意代码执行。”并补充说,一个未透露姓名的联邦机构在 2023 年 6 月至 7 月期间成为攻击目标。
该缺陷影响 ColdFusion 2018(Update 15 及更早版本)和 ColdFusion 2021(Update 5 及更早版本)。该问题已在分别于 2023 年 3 月 14 日发布的版本 Update 16 和 Update 6 中得到解决。
一天后,CISA 引用了在野外积极利用的证据,将其添加到已知被利用的漏洞 (KEV) 目录中。Adobe 在当时发布的一份公告中表示,它意识到该漏洞“在非常有限的攻击中被利用”。
该机构指出,至少有两台面向公众的服务器因该缺陷而受到损害,这两台服务器都运行着过时的软件版本。
CISA 指出:“此外,威胁行为者在受感染的 Web 服务器上发起了各种命令;利用的漏洞允许威胁行为者使用 HTTP POST 命令将恶意软件投放到与 ColdFusion 关联的目录路径中。”
有证据表明,恶意活动是为了绘制更广泛的网络而进行的侦察活动,尽管尚未观察到横向移动或数据泄露。
在其中一起事件中,我们观察到攻击者遍历文件系统并将各种工件上传到 Web 服务器,包括能够导出 Web 浏览器 cookie 的二进制文件以及旨在解密 ColdFusion 数据源密码的恶意软件。
2023 年 6 月上旬记录的第二个事件涉及部署远程访问木马,该木马是ByPassGodzilla Web shell的修改版本,“利用 JavaScript 加载程序来感染设备,并需要与攻击者控制的服务器进行通信才能执行操作。”
攻击者还尝试窃取 Windows 注册表文件以及从命令和控制 (C2) 服务器下载数据,但未成功。
CISA 表示:“在这起事件中,分析强烈表明,威胁行为者可能通过 Web shell 界面查看了 ColdFusion Seed.properties 文件中包含的数据。”
“seed.properties 文件包含用于加密密码的种子值和加密方法。种子值还可用于解密密码。在受害者系统上没有发现恶意代码,表明威胁行为者试图使用在 Seed.properties 文件中找到的值。”
原文来自:thehackernews.com

原文链接:https://thehackernews.com/2023/12/hackers-exploited-coldfusion.html

 

 

原文始发于微信公众号(邑安全):黑客利用 ColdFusion 漏洞入侵联邦机构服务器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月11日16:27:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用 ColdFusion 漏洞入侵联邦机构服务器http://cn-sec.com/archives/2276302.html

发表评论

匿名网友 填写信息