Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Агентство кибербезопасности и инфраструктуры безопасности США (CISA) предупредило об активном использовании серьезной уязвимости Adobe ColdFusion неизвестными субъектами угроз для получения первоначального доступа к правительственным серверам.
"Уязвимость в ColdFusion (CVE-2023-26360) представляет собой проблему с неправильным контролем доступа, и использование этого CVE может привести к выполнению произвольного кода", - сказали в CISA, добавив, что неназванное федеральное агентство было атаковано в период с июня по июль 2023 года.
Недостаток затрагивает ColdFusion 2018 (обновление 15 и более ранние версии) и ColdFusion 2021 (обновление 5 и более ранние версии). Она была устранена в версиях Update 16 и Update 6, выпущенных 14 марта 2023 года соответственно.
Днем позже CISA добавила ее в каталог известных эксплуатируемых уязвимостей (KEV), сославшись на свидетельства активной эксплуатации в дикой природе. В опубликованном примерно в то же время сообщении Adobe говорится, что ей известно о том, что уязвимость "широко используется в очень ограниченных атаках".
Агентство отметило, что по меньшей мере два общедоступных сервера были скомпрометированы с помощью этой уязвимости, на обоих из которых были установлены устаревшие версии программного обеспечения.
"Кроме того, субъекты угрозы инициировали различные команды на скомпрометированных веб-серверах; используемая уязвимость позволяла субъектам угрозы сбрасывать вредоносное ПО с помощью команд HTTP POST в каталог, связанный с ColdFusion", - отметили в CISA.
Есть основания полагать, что вредоносная активность является разведывательной операцией, проводимой с целью составления карты более широкой сети, хотя никаких боковых перемещений или утечки данных не наблюдалось.
В одном из инцидентов было замечено, как злоумышленник перемещался по файловой системе и загружал различные артефакты на веб-сервер, включая двоичные файлы, которые способны экспортировать файлы cookie веб-браузера, а также вредоносное ПО, предназначенное для расшифровки паролей к источникам данных ColdFusion.
Второе событие, зарегистрированное в начале июня 2023 года, повлекло за собой развертывание троянца удаленного доступа, который представляет собой модифицированную версию веб-оболочки ByPassGodzilla и "использует загрузчик JavaScript для заражения устройства и требует связи с сервером, контролируемым субъектом, для выполнения действий".
Злоумышленник также предпринял попытки отфильтровать файлы реестра Windows, а также безуспешно загрузить данные с сервера командования и управления (C2).
"Во время этого инцидента анализ убедительно показывает, что субъекты угрозы, вероятно, просматривали данные, содержащиеся в файле ColdFusion seed.properties, через интерфейс веб-оболочки", - сказали в CISA.
"Начальный файл.properties содержит начальное значение и метод шифрования, используемый для шифрования паролей. Начальные значения также могут использоваться для расшифровки паролей. В системе жертвы не было обнаружено вредоносного кода, который указывал бы на попытку злоумышленников расшифровать какие-либо пароли, используя значения, найденные в файле seed.properties."
"Уязвимость в ColdFusion (CVE-2023-26360) представляет собой проблему с неправильным контролем доступа, и использование этого CVE может привести к выполнению произвольного кода", - сказали в CISA, добавив, что неназванное федеральное агентство было атаковано в период с июня по июль 2023 года.
Недостаток затрагивает ColdFusion 2018 (обновление 15 и более ранние версии) и ColdFusion 2021 (обновление 5 и более ранние версии). Она была устранена в версиях Update 16 и Update 6, выпущенных 14 марта 2023 года соответственно.
Днем позже CISA добавила ее в каталог известных эксплуатируемых уязвимостей (KEV), сославшись на свидетельства активной эксплуатации в дикой природе. В опубликованном примерно в то же время сообщении Adobe говорится, что ей известно о том, что уязвимость "широко используется в очень ограниченных атаках".
Агентство отметило, что по меньшей мере два общедоступных сервера были скомпрометированы с помощью этой уязвимости, на обоих из которых были установлены устаревшие версии программного обеспечения.
"Кроме того, субъекты угрозы инициировали различные команды на скомпрометированных веб-серверах; используемая уязвимость позволяла субъектам угрозы сбрасывать вредоносное ПО с помощью команд HTTP POST в каталог, связанный с ColdFusion", - отметили в CISA.
Есть основания полагать, что вредоносная активность является разведывательной операцией, проводимой с целью составления карты более широкой сети, хотя никаких боковых перемещений или утечки данных не наблюдалось.
В одном из инцидентов было замечено, как злоумышленник перемещался по файловой системе и загружал различные артефакты на веб-сервер, включая двоичные файлы, которые способны экспортировать файлы cookie веб-браузера, а также вредоносное ПО, предназначенное для расшифровки паролей к источникам данных ColdFusion.
Второе событие, зарегистрированное в начале июня 2023 года, повлекло за собой развертывание троянца удаленного доступа, который представляет собой модифицированную версию веб-оболочки ByPassGodzilla и "использует загрузчик JavaScript для заражения устройства и требует связи с сервером, контролируемым субъектом, для выполнения действий".
Злоумышленник также предпринял попытки отфильтровать файлы реестра Windows, а также безуспешно загрузить данные с сервера командования и управления (C2).
"Во время этого инцидента анализ убедительно показывает, что субъекты угрозы, вероятно, просматривали данные, содержащиеся в файле ColdFusion seed.properties, через интерфейс веб-оболочки", - сказали в CISA.
"Начальный файл.properties содержит начальное значение и метод шифрования, используемый для шифрования паролей. Начальные значения также могут использоваться для расшифровки паролей. В системе жертвы не было обнаружено вредоносного кода, который указывал бы на попытку злоумышленников расшифровать какие-либо пароли, используя значения, найденные в файле seed.properties."
