Una vulnerabilidad crítica de Adobe ColdFusion es explotada
- Vulnerabilidades
En el ataque detectado, un grupo de APT chino pudo comprometer un servidor ColdFusion vulnerable al cargar directamente un web shell de China Chopper. El servidor atacado carecía de la actualización que Adobe había lanzado solo dos semanas antes.
También puedes leer... |
Un grupo de APT vinculado a China estaba explotando una vulnerabilidad de Adobe ColdFusion, parcheada hace dos meses. La vulnerabilidad, CVE-2018-15961, es un fallo crítico de carga de archivos sin restricciones que también podría llevar a una ejecución de código arbitraria, poniendo en riesgo los servidores de ColdFusion, señalan investigadores de Volexity.
Los investigadores de Volexity observaron que la vulnerabilidad fue explotada dos semanas después de que Adobe lanzara su actualización. "Los atacantes que observamos subieron un web shell de China Chopper –un web shell ampliamente utilizado por hackers chinos y grupos APT para acceder de forma remota a servidores web– al servidor comprometido, lo que les permitió ejecutar comandos fácilmente como si tuvieran acceso directo a la línea de comandos", apunta Matthew Meltzer, investigador de seguridad de Volexity. "Observamos que los atacantes ejecutaron comandos de reconocimiento, examinando el sistema y la red".
La vulnerabilidad se puede aprovechar fácilmente mediante una simple solicitud HTTP POST al archivo upload.cfm, que no está restringido y no requiere autenticación, dijeron los investigadores.
“Pudimos detectar y desconectar rápidamente a este grupo de la red comprometida; sin embargo, si el acceso no hubiera sido interrumpido, sospechamos que habrían intentado escalar privilegios, obtener credenciales que podrían usarse en toda la red y moverse lateralmente, algo que hemos observado en otros grupos de amenazas avanzadas", explica Meltzer.
Después de este descubrimiento inicial, los investigadores descubrieron que muchos otros servidores web de ColdFusion, pertenecientes a una variedad de organizaciones, como instituciones educativas, gubernamentales, de investigación sanitaria, organizaciones de ayuda humanitaria y más, también parecen haber sido comprometidos. "Cada uno de los sitios mostraba signos de intentos de carga de web shell o tenía archivos HTML diseñados para mostrar que habían sido borrados", dijeron los investigadores. “Volexity no pudo confirmar que CVE-2018-15961 fue la vulnerabilidad que se explotó en estos casos. Sin embargo, en función de la ubicación de los archivos en los servidores afectados, Volexity cree que un actor que es de APT puede haber identificado esta vulnerabilidad antes del 11 de septiembre".
Los investigadores instan a los usuarios de Adobe ColdFusion a parchear sus sistemas, y a examinar sus archivos de registro y directorios en busca de cualquier cosa que parezca sospechosa.