黑客利用 Adob??e ColdFusion 漏洞入侵美國政府機構

12月5日，美國網絡安全和基礎設施安全局 (CISA)發出警告稱，黑客正積極利用 Adobe ColdFusion 中的一個關鍵漏洞（CVE-2023-26360）來獲取對政府服務器的初始訪問權限。

該機構指出，此漏洞能在運行 Adobe ColdFusion 2018 Update 15 、2021 Update 5 及更早版本的服務器上執行任意代碼，在 Adobe于3 月中旬發布 ColdFusion 2018 Update 16 和 2021 Update 6 修復該問題之前曾被用作零日漏洞。

CISA在警告中揭露了兩起利用該漏洞的攻擊事件。第一起事件發生在6月2日，攻擊者在一臺運行 Adobe ColdFusion v2021.0.0.2 的服務器上利用此漏洞收集了用戶賬戶信息，并試圖竊取注冊表文件和安全帳戶管理器（SAM）信息。攻擊者濫用可用的安全工具來訪問域控制器上的特殊目錄 SYSVOL。

第二起事件發生在 6 月 26 日，攻擊破壞了運行 Adobe ColdFusion v2016.0.0.3 的服務器，并安裝了一個 Web shell ( config.jsp )，允許攻擊者將代碼插入 ColdFusion 配置文件并提取憑證，其活動包括刪除攻擊中使用的文件以隱藏行蹤，以及在 C:\IBM 目錄中創建文件，以便在未被發現的情況下進行惡意操作。

攻擊者在第二次攻擊中使用的工具

CISA 將這些攻擊歸類為偵察活動，但尚不清楚這兩次入侵是否是同一攻擊者所為。

為了降低風險，CISA 建議將 ColdFusion 升級到最新可用版本，設置應用網絡分段、防火墻或 WAF，并強制執行軟件簽名策略。