Cring ransomware -operaattorit hyödyntävät 11 vuoden Adobe ColdFusion -haavoittuvuutta
Tuntematon kyberrikollisryhmä murtautui muutamassa minuutissa palvelimelle vanhentuneella Adobe ColdFusion -versiolla. 9 ja otti sen hallintaansa, ja 79 tuntia myöhemmin otti ransomwaren Cring käyttöön palvelimelle.
Palkanlaskennan tuntitaulukoiden ja kirjanpitotietojen keräämiseen käytettiin nimettömän palveluntarjoajan omistamaa palvelinta, sekä isännöidä useita virtuaalikoneita.
Mukaan tietoturvayhtiön asiantuntijoille Sophos, hyökkäykset tehtiin ukrainalaisen Internet-palveluntarjoajan Internet-osoitteesta Vihreä Floid.
Sophosin vanhempi tutkija Andrew Brandt sanoo laitteet vanhentuneilla, haavoittuvat ohjelmistot ovat hakkereiden makupala.
kuitenkin, suuri yllätys on se, että palvelinta, jossa oli 11 vuotta vanhoja ohjelmistoja, joita lunnasohjelmat hyökkäsivät, käytettiin aktiivisesti ja päivittäin. Sääntönä, haavoittuvimpia ovat käyttämättömät tai unohdetut laitteet “haamukoneet”.
Saatuaan alkupääsyn palvelimelle, hyökkääjät käyttivät erilaisia kehittyneitä menetelmiä haitallisten tiedostojen piilottamiseen, syöttää koodia muistiin, ja hyökkäyksen piilottaminen korvaamalla tiedostot vioittuneilla tiedoilla. Lisäksi, hakkerit ovat poistaneet suojausratkaisut käytöstä hyödyntämällä sitä tosiasiaa, että peukaloinnin estoominaisuudet on poistettu käytöstä.
Erityisesti, hyökkääjät käyttivät hyväkseen hakemistojen läpikäynnin haavoittuvuuksia (CVE-2010-2861) Adobe ColdFusionissa 9.0.1 ja aikaisempi hallintakonsoli. Haavoittuvuudet mahdollistivat mielivaltaisten tiedostojen etälukemisen, mukaan lukien tiedostot, jotka sisältävät järjestelmänvalvojan salasanatiivisteitä (salasana.ominaisuudet).
Hyökkäyksen seuraavassa vaiheessa, hakkerit käyttivät hyväkseen ColdFusionin vielä aikaisempaa haavoittuvuutta (CVE-2009-3960) ladataksesi haitallisen Cascading Stylesheet -tyylitaulukon (CSS) tiedosto hyökätylle palvelimelle, joka puolestaan latasi Cobalt Strike Beacon -suoritettavan tiedoston.
Muistutan, että puhuimme siitä tosiasiasta Outoja haittaohjelmia estää uhreja käymästä merirosvosivustoilla.