十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Sophos 最近调查发现身份不明的威胁行动者在未知的服务企业系统上部署了勒索软件 Cring。攻击者首先扫描了web中的潜在目标，在受害者网站上发现了易受攻击的 ColdFusion。

攻击者随后利用可导致信息泄露的路径遍历漏洞 (CVE-2010-2861) 从服务器获得密码文件。之后攻击者利用另外一个老旧的 ColdFusion 漏洞 (CVE-2009-3960) 将 web shell 文件上传至服务器。该 web shell 之后用于加载 Cobalt Strike Beacon payload。

几天后，攻击者将更多文件上传到受陷服务器中、执行命令、创建调度任务、部署更多web shell，创建用户账户并移动到网络中的其它设备。初次入侵后约79小时后，攻击者发出了勒索软件，加密文件并勒索用户。

Sophos 公司发现最初目标服务器运行的是 ColdFusion 9（早在2016年就到达生命周期）和 Windows Server 2008（2020年1月不再受支持，仅为付费用户服务）。

虽然CVE-2010-2861已知已遭攻击，但尚未出现关于 CVE-2009-3960的攻击报告。然而，多款黑客工具中已出现 CVE-2009-3960的exploit，因此已被恶意利用也在情理之中。

卡巴斯基公司报告称，今年 Cring 勒索软件已被部署于工业组织机构中。在所见到的攻击中，黑客利用的是 Fortinet 公司在2019年已修复的FortiOS 漏洞（CVE-2018-13379）。

Sophos 公司的首席研究员 Andrew Brandt 表示，“Cring 勒索软件并非新出现的勒索软件但它不同寻常。在所研究的事件中我们发现，遭攻击的目标是一家服务企业，而攻击者的切入点是一台运行老旧、过时且未修复软件的联网机器。令人惊讶的是，该服务器实际上每天都在用。通常来说易受攻击的设备是不使用状态或ghost 机器，打补丁和升级时它们或被遗忘或不受重视。“