十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

网络安全公司 Sophos 表示，Adobe 公司在十多年前修复的两个 ColdFusion 漏洞遭攻击。

Sophos 最近调查发现身份不明的威胁行动者在未知的服务企业系统上部署了勒索软件 Cring。攻击者首先扫描了web中的潜在目标，在受害者网站上发现了易受攻击的 ColdFusion。

攻击者随后利用可导致信息泄露的路径遍历漏洞 (CVE-2010-2861) 从服务器获得密码文件。之后攻击者利用另外一个老旧的 ColdFusion 漏洞 (CVE-2009-3960) 将 web shell 文件上传至服务器。该 web shell 之后用于加载 Cobalt Strike Beacon payload。

几天后，攻击者将更多文件上传到受陷服务器中、执行命令、创建调度任务、部署更多web shell，创建用户账户并移动到网络中的其它设备。初次入侵后约79小时后，攻击者发出了勒索软件，加密文件并勒索用户。

Sophos 公司发现最初目标服务器运行的是 ColdFusion 9（早在2016年就到达生命周期）和 Windows Server 2008（2020年1月不再受支持，仅为付费用户服务）。

虽然CVE-2010-2861已知已遭攻击，但尚未出现关于 CVE-2009-3960的攻击报告。然而，多款黑客工具中已出现 CVE-2009-3960的exploit，因此已被恶意利用也在情理之中。

卡巴斯基公司报告称，今年 Cring 勒索软件已被部署于工业组织机构中。在所见到的攻击中，黑客利用的是 Fortinet 公司在2019年已修复的FortiOS 漏洞（CVE-2018-13379）。

Sophos 公司的首席研究员 Andrew Brandt 表示，“Cring 勒索软件并非新出现的勒索软件但它不同寻常。在所研究的事件中我们发现，遭攻击的目标是一家服务企业，而攻击者的切入点是一台运行老旧、过时且未修复软件的联网机器。令人惊讶的是，该服务器实际上每天都在用。通常来说易受攻击的设备是不使用状态或ghost 机器，打补丁和升级时它们或被遗忘或不受重视。“

【开奖啦！！！！！】

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

上次的限时赠书活动中奖名单已出炉，恭喜以下同学中奖，请未填写地址的同学在微信后台私信地址，我们已经发出部分书籍啦。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

大家可移步京东电子工业出版社一睹为快！

如下是本书相关讲解:

推荐阅读

Adobe 紧急修复严重的 CodeFusion 漏洞

马上更新！严重的 ColdFusion 0day 漏洞已遭在野利用

Adobe ColdFusion 漏洞已遭利用

Adobe修复网页应用生成器ColdFusion中的缺陷

原文链接

https://www.securityweek.com/decade-old-adobe-coldfusion-vulnerabilities-exploited-ransomware-gang

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~