Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προειδοποιεί για την ενεργή εκμετάλλευση μιας κρίσιμης ευπάθειας στο Adobe ColdFusion (CVE-2023-26360) που επιτρέπει στους επιτιθέμενους να αποκτήσουν αρχική πρόσβαση σε κυβερνητικούς servers.
Συγκεκριμένα, η ευπάθεια επιτρέπει την εκτέλεση κώδικα σε servers που εκτελούν Adobe ColdFusion 2018 Update 15 και παλαιότερη έκδοση, και 2021 Update 5 και παλαιότερη έκδοση. Η ευπάθεια είχε χρησιμοποιηθεί ως zero day προτού η Adobe τη διορθώσει στα μέσα Μαρτίου 2023 με την κυκλοφορία του ColdFusion 2018 Update 16 και του 2021 Update 6.
Ήδη από τότε, η CISA είχε προειδοποιήσει για τους παράγοντες απειλών που εκμεταλλεύονται το ελάττωμα και είχε προτρέψει τους ομοσπονδιακούς οργανισμούς και τις κρατικές υπηρεσίες να εφαρμόσουν άμεσα τις διαθέσιμες ενημερώσεις ασφαλείας.
Δείτε επίσης: 21 ευπάθειες επηρεάζουν Sierra routers και απειλούν κρίσιμες υποδομές
 προειδοποιεί για την εκμετάλλευση κρίσιμης ευπάθειας στο Adobe ColdFusion){kind=link}
Ωστόσο, μια νέα προειδοποίηση αναφέρει ότι η ευπάθεια CVE-2023-26360 στο Adobe ColdFusion εξακολουθεί να χρησιμοποιείται σε επιθέσεις. Το καλοκαίρι επηρεάστηκαν και δύο συστήματα ομοσπονδιακών υπηρεσιών.
“Και στα δύο περιστατικά, το Microsoft Defender for Endpoint (MDE) ειδοποίησε για την πιθανή εκμετάλλευση μιας ευπάθειας του Adobe ColdFusion σε public-facing web servers“, είπε η CISA.
Η υπηρεσία σημειώνει ότι “και οι δύο διακομιστές εκτελούσαν ξεπερασμένες εκδόσεις λογισμικού που είναι ευάλωτες σε διάφορα CVE“.
Φαίνεται ότι οι επιτιθέμενοι χρησιμοποίησαν την ευπάθεια για να εγκαταστήσουν malware χρησιμοποιώντας HTTP POST commands στο directory path που σχετίζεται με το ColdFusion.
Το πρώτο περιστατικό καταγράφηκε στις 26 Ιουνίου και βασίστηκε στην κρίσιμη ευπάθεια για την παραβίαση ενός διακομιστή που εκτελούσε το Adobe ColdFusion v2016.0.0.3.
Οι εισβολείς κατάφεραν να εγκαταστήσουν ένα web shell (config.jsp) που τους επέτρεπε να εισάγουν κώδικα σε ένα αρχείο διαμόρφωσης ColdFusion και να εξάγουν credentials.
Οι hackers διέγραψαν αρχεία που χρησιμοποιήθηκαν στην επίθεση για να κρύψουν την παρουσία τους και δημιούργησαν αρχεία στον κατάλογο C:\IBM για να διευκολύνουν τις κακόβουλες λειτουργίες να παραμείνουν απαρατήρητες.
Δείτε επίσης: Οι κυβερνοεπιθέσεις στην “κρίσιμη υποδομή” αυξάνονται
Το δεύτερο περιστατικό συνέβη στις 2 Ιουνίου όταν hackers εκμεταλλεύτηκαν το CVE-2023-26360 σε έναν διακομιστή που εκτελούσε το Adobe ColdFusion v2021.0.0.2. Σε αυτήν την περίπτωση, οι εισβολείς συγκέντρωσαν πληροφορίες λογαριασμού χρήστη πριν από την απόθεση ενός αρχείου κειμένου που αποκωδικοποιήθηκε ως trojan απομακρυσμένης πρόσβασης (d.jsp).
Στη συνέχεια, προσπάθησαν να διεισδύσουν σε Registry files και πληροφορίες security account manager (SAM). Σύμφωνα με την CISA, οι επιτιθέμενοι χρησιμοποίησαν διαθέσιμα εργαλεία ασφαλείας για να αποκτήσουν πρόσβαση στο SYSVOL, έναν ειδικό κατάλογο που υπάρχει σε κάθε domain controller σε ένα domain.
Και στις δύο περιπτώσεις, οι επιθέσεις εντοπίστηκαν και μπλοκαρίστηκαν προτού οι εισβολείς μπορέσουν να κλέψουν δεδομένα ή να εξαπλωθούν. Τα παραβιασμένα assets αφαιρέθηκαν από τα κρίσιμα δίκτυα εντός 24 ωρών.
Για την προστασία σας, η CISA συνιστά την αναβάθμιση του ColdFusion στην πιο πρόσφατη διαθέσιμη έκδοση. Η σημασία της τακτικής ενημέρωσης για την ασφάλεια του Adobe ColdFusion είναι κρίσιμη. Οι ενημερώσεις που παρέχονται από την Adobe περιλαμβάνουν διορθώσεις για γνωστά προβλήματα ασφάλειας και ευπάθειες που μπορεί να εκμεταλλευτούν κακόβουλοι χρήστες. Η μη εγκατάσταση αυτών των ενημερώσεων μπορεί να αφήσει το σύστημα ευάλωτο σε επιθέσεις και παραβιάσεις ασφάλειας.
Δείτε επίσης: Microsoft: Προειδοποιεί για επιθέσεις της Κίνας στις υποδομές των Ηνωμένων Πολιτειών
Επιπλέον, οι ειδικοί συνιστούν την εφαρμογή τμηματοποίησης δικτύου, τη χρήση firewall ή WAF και την επιβολή πολιτικών εκτέλεσης signed software.
Επίσης, πρέπει να διαμορφώσετε σωστά τον διακομιστή ColdFusion. Αυτό περιλαμβάνει την απενεργοποίηση μη απαραίτητων υπηρεσιών και λειτουργιών.
Τέλος, είναι σημαντικό να εφαρμόζετε αυστηρές πολιτικές ασφαλείας και να παρακολουθείτε τακτικά τα αρχεία καταγραφής για ενδείξεις ανεπιθύμητων δραστηριοτήτων.
Πηγή: www.bleepingcomputer.com