Hackers violam agências governamentais dos EUA usando exploit do Adobe ColdFusion
6 de Dezembro de 2023

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) está alertando sobre hackers explorando ativamente uma vulnerabilidade crítica no Adobe ColdFusion identificada como CVE-2023-26360 para obter acesso inicial aos servidores governamentais.

O problema de segurança permite a execução de código arbitrário em servidores rodando Adobe ColdFusion 2018 Update 15 e versão antiga, e 2021 Update 5 e anterior.

Foi explorado como um zero-day antes da Adobe corrigi-lo em meados de março lançando ColdFusion 2018 Update 16 e 2021 Update 6.

Na época, a CISA publicou um aviso sobre atores de ameaças explorando a falha e instou as organizações federais e serviços estaduais a aplicar as atualizações de segurança disponíveis.

Em um alerta hoje, a agência de defesa cibernética dos EUA adverte que a CVE-2023-26360 ainda é usada em ataques, mostrando incidentes de junho que impactaram dois sistemas de agência federal.

A agência observa que "ambos os servidores estavam rodando versões desatualizadas de software que são vulneráveis ​​a várias CVEs".

A CISA afirma que os atores da ameaça exploraram a vulnerabilidade para soltar malware usando comandos HTTP POST no diretório associado ao ColdFusion.

O primeiro incidente foi registrado em 26 de junho e se baseou na vulnerabilidade crítica para invadir um servidor rodando Adobe ColdFusion v2016.0.0.3.

Os invasores conduziram enumeração de processos junto com verificações de rede e instalaram um web shell (config.jsp) que lhes permitiu inserir código em um arquivo de configuração do ColdFusion e extrair credenciais.

Suas atividades incluíram a exclusão de arquivos usados ​​no ataque para ocultar sua presença e a criação de arquivos no diretório C:\IBM para facilitar operações maliciosas sem detecção.

O segundo incidente ocorreu em 2 de junho, quando os hackers exploraram a CVE-2023-26360 em um servidor rodando Adobe ColdFusion v2021.0.0.2.

Neste caso, os invasores coletaram informações da conta do usuário antes de soltar um arquivo de texto que decodificava como um trojan de acesso remoto (d.jsp).

Em seguida, eles tentaram exfiltrar arquivos de registro e informações do gerenciador de contas de segurança (SAM).

Os invasores abusaram das ferramentas de segurança disponíveis para acessar o SYSVOL, um diretório especial presente em cada controlador de domínio em um domínio.

Em ambos os casos, os ataques foram detectados e bloqueados antes que os intrusos conseguissem exfiltrar dados ou se mover lateralmente, e os ativos comprometidos foram removidos das redes cruciais dentro de 24 horas.

A análise da CISA categoriza os ataques como esforços de reconhecimento.

No entanto, é desconhecido se o mesmo ator de ameaça está por trás de ambas as invasões.

Para mitigar o risco, a CISA recomenda atualizar o ColdFusion para a versão mais recente disponível, aplicar segmentação de rede, configurar um firewall ou WAF e impor políticas de execução de software assinado.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...