Los operadores de ransomware Cring aprovechan la vulnerabilidad de Adobe ColdFusion de 11 años

Helga Smithseptiembre 23, 2021Última actualización: septiembre 23, 2021
40 1 minuto de lectura

Un grupo de ciberdelincuentes desconocido en cuestión de minutos hackeó remotamente un servidor con una versión desactualizada de Adobe ColdFusion 9 y tomó el control sobre él, y 79 horas más tarde implementó el ransomware Cring en el servidor.

Se utilizó un servidor propiedad de un proveedor de servicios no identificado para recopilar hojas de tiempo y datos contables para la nómina., así como alojar varias máquinas virtuales.

Según a los expertos de la empresa de seguridad de la información Sophos, Los ataques se llevaron a cabo desde una dirección de Internet que pertenece al proveedor de Internet de Ucrania. Floid verde.

En un ataque recientemente investigado por Sophos, Un actor de amenazas desconocido explotó una vulnerabilidad antigua en Internet en una instalación de 11 años de antigüedad. Adobe Fusión fría 9 para tomar el control del servidor ColdFusion de forma remota, luego para ejecutar ransomware conocido como Cring en el servidor, y contra otras máquinas en la red del objetivo.Los especialistas de Sophos escriben.
Andrew Brandt
Andrew Brandt

Investigador senior de Sophos Andrew Brandt dice dispositivos con obsoletos, el software vulnerable es un tidbit para los piratas informáticos.

sin embargo, la gran sorpresa es el hecho de que el servidor con software de 11 años atacado por ransomware se usaba de forma activa y diaria. Como una regla, los más vulnerables son los dispositivos no utilizados o olvidados “máquinas fantasma”.

Después de obtener acceso inicial al servidor, los atacantes utilizaron varios métodos sofisticados para ocultar archivos maliciosos, inyectando código en la memoria, y ocultar un ataque sobrescribiendo archivos con datos corruptos. Adicionalmente, Los piratas informáticos han desactivado las soluciones de seguridad aprovechando el hecho de que las funciones antimanipulación estaban desactivadas..

En particular, los atacantes explotaron las vulnerabilidades de cruce de directorios (CVE-2010-2861) en Adobe ColdFusion 9.0.1 y consola de administración anterior. Las vulnerabilidades permitieron la lectura remota de archivos arbitrarios., incluidos archivos que contienen hashes de contraseña de administrador (password.properties).

En la siguiente etapa del ataque, los piratas informáticos explotaron una vulnerabilidad incluso anterior en ColdFusion (CVE-2009-3960) para cargar una hoja de estilo en cascada maliciosa (CSS) archivo al servidor atacado, que a su vez descargó el archivo ejecutable Cobalt Strike Beacon.

Este archivo sirvió como conducto para descargar cargas útiles adicionales, crear cuentas con privilegios de administrador, e incluso deshabilitar la protección de endpoints y los motores antivirus como Windows Defender antes de iniciar el proceso de cifrado.

Permítame recordarle que hablamos sobre el hecho de que Malware extraño evita que las víctimas visiten sitios piratas.

Etiquetas
Helga Smithseptiembre 23, 2021Última actualización: septiembre 23, 2021
40 1 minuto de lectura

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba