網絡安全和基礎設施安全局(CISA)發布了網絡安全通報(CSA),提醒組織注意身份不明的威脅參與者正在利用Adob??e ColdFusion中的一個關鍵漏洞。

該漏洞CVE-2023-26360影響Adob??e ColdFusion版本2018 Update 15(及更早版本)和2021 Update 5(及更早版本),以及Adob??e不再支持的舊版ColdFusion安裝。

利用CVE-2023-26360,威脅行為者可以在受影響的系統上執行任意代碼,從而構成重大安全風險。該漏洞在發現后立即添加到CISA的已知被利用漏洞(KEV)目錄中,并規定各機構在4月5日之前修復該問題。

Adobe ColdFusion一種廣泛使用的Web應用程序開發軟件套件。自3月份發現 此漏洞以來,一直在報告該漏洞 。我們于2023年8月報告稱,這一嚴重的遠程代碼執行(RCE)缺陷同時影響Windows和macOS平臺,使攻擊者能夠奪取受影響系統的控制權,從而構成高度嚴重的網絡安全風險。Adobe發布了安全補丁來解決以下漏洞:

1. APSB23-40

2. APSB23-41

3. APSB23-47

然而,FortiGuard實驗室當時觀察到了持續的利用嘗試,表明一些用戶尚未應用補丁。

現在,身份不明的黑客已利用同一漏洞訪問聯邦民事行政部門(FCEB)機構內的兩個系統。據報道,FCEB運行的是過時的版本,包括ColdFusion,這使其容易受到攻擊。黑客能夠初步訪問該機構預生產環境中的兩個面向公眾的網絡服務器。

2023年6月至7月期間,聯邦民事行政部門(FCEB)機構內至少有兩臺面向公眾的服務器成為此漏洞的目標 。以下是攻擊的詳細信息:

6月2日:初始訪問、偵察活動(本地/域管理信息、網絡配置、用戶詳細信息)以及遠程訪問木馬(RAT)的部署。竊取數據、獲取憑證、從C2基礎設施下載數據以及更改策略的嘗試均未成功。

6月26日:攻擊者通過惡意IP地址連接,利用該漏洞,分析運行進程。他們瀏覽文件系統、刪除日志并執行專為ColdFusion版本9及更低版本設計的惡意代碼(針對用戶名、密碼和URL)。

該代碼可能會啟用未來的攻擊并從未知來源上傳其他文件。由于該機構的ColdFusion版本較新,因此無法解密密碼。隱藏Web shell的嘗試也失敗了。

雖然黑客可以插入惡意軟件并發起偵察活動,但沒有證據表明存在數據泄露或橫向移動。該機構在收到警報后24小時內從網絡中刪除了受感染的服務器。CISA尚未澄清這兩次攻擊是否源自同一運營商。

黑客 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接