Cring-Ransomware-Betreiber nutzen 11-jährige Sicherheitslücke in Adobe ColdFusion aus

Helga SmithSeptember 23, 2021Letztes Update September 23, 2021
44 1 Minute Lesezeit

Eine unbekannte cyberkriminelle Gruppe hat sich innerhalb weniger Minuten aus der Ferne in einen Server mit einer veralteten Version von Adobe ColdFusion gehackt 9 und übernahm die Kontrolle darüber, und 79 Stunden später die Ransomware Cring auf dem Server bereitgestellt.

Ein Server eines ungenannten Dienstleisters wurde verwendet, um Stundenzettel und Abrechnungsdaten für die Gehaltsabrechnung zu sammeln, sowie zum Hosten einer Reihe von virtuellen Maschinen.

Nach an die Experten des Informationssicherheitsunternehmens Sophos, die Angriffe wurden von einer Internetadresse des ukrainischen Internetproviders durchgeführt Grüne Floid.

Bei einem kürzlich von Sophos untersuchten Angriff, ein unbekannter Bedrohungsakteur nutzte eine seit Jahren alte Sicherheitslücke in einer 11 Jahre alten Installation von Adobe ColdFusion 9 um die Kontrolle über den ColdFusion-Server aus der Ferne zu übernehmen, dann um Ransomware auszuführen, bekannt als Cring auf dem Server, und gegen andere Maschinen im Netzwerk des Ziels.Sophos-Spezialisten schreiben.
Andrew Brandt
Andrew Brandt

Senior Researcher bei Sophos Andrew Brandt sagt Geräte mit veralteten, anfällige Software ist ein Leckerbissen für Hacker.

jedoch, Die große Überraschung ist die Tatsache, dass der Server mit 11 Jahre alter, von Ransomware angegriffener Software aktiv und täglich genutzt wurde. Als Regel, am anfälligsten sind ungenutzte oder vergessene Geräte “Geistermaschinen”.

Nach dem ersten Zugriff auf den Server, Die Angreifer verwendeten verschiedene ausgeklügelte Methoden, um bösartige Dateien zu verbergen, Code in den Speicher einschleusen, und Verbergen eines Angriffs durch Überschreiben von Dateien mit beschädigten Daten. In Ergänzung, Hacker haben Sicherheitslösungen deaktiviert, indem sie sich die Tatsache zunutze gemacht haben, dass Anti-Manipulationsfunktionen deaktiviert wurden.

Speziell, Angreifer nutzten Directory-Traversal-Schwachstellen aus (CVE-2010-2861) in Adobe ColdFusion 9.0.1 und frühere Administrationskonsole. Die Schwachstellen ermöglichten das Fernlesen beliebiger Dateien, einschließlich Dateien mit Administratorkennwort-Hashes (passwort.eigenschaften).

In der nächsten Phase des Angriffs, die Hacker haben eine noch frühere Schwachstelle in ColdFusion ausgenutzt (CVE-2009-3960) um ein bösartiges Cascading Stylesheet hochzuladen (CSS) Datei auf den angegriffenen Server, die wiederum die ausführbare Datei von Cobalt Strike Beacon heruntergeladen hat.

Diese Datei diente als Kanal zum Herunterladen zusätzlicher Nutzlasten, Erstellen von Konten mit Administratorrechten, und deaktivieren Sie sogar den Endpunktschutz und Antiviren-Engines wie Windows Defender, bevor Sie den Verschlüsselungsprozess starten.

Lassen Sie mich daran erinnern, dass wir darüber gesprochen haben, dass Seltsame Malware verhindert, dass Opfer Piratenseiten besuchen.

Schlagwörter
Helga SmithSeptember 23, 2021Letztes Update September 23, 2021
44 1 Minute Lesezeit

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"