Cring ransomware -operaattorit hyödyntävät 11 vuoden Adobe ColdFusion -haavoittuvuutta

Helga Smithsyyskuu 23, 2021Viimeksi päivitetty: syyskuu 23, 2021
40 1 minuutti luettu

Tuntematon kyberrikollisryhmä murtautui muutamassa minuutissa palvelimelle vanhentuneella Adobe ColdFusion -versiolla. 9 ja otti sen hallintaansa, ja 79 tuntia myöhemmin otti ransomwaren Cring käyttöön palvelimelle.

Palkanlaskennan tuntitaulukoiden ja kirjanpitotietojen keräämiseen käytettiin nimettömän palveluntarjoajan omistamaa palvelinta, sekä isännöidä useita virtuaalikoneita.

Mukaan tietoturvayhtiön asiantuntijoille Sophos, hyökkäykset tehtiin ukrainalaisen Internet-palveluntarjoajan Internet-osoitteesta Vihreä Floid.

Sophosin äskettäin tutkimassa hyökkäyksessä, tuntematon uhkatoimija käytti hyväkseen Internet-vuosien muinaista haavoittuvuutta 11 vuotta vanhassa asennuksessa Adobe Kylmäfuusio 9 ottaa ColdFusion-palvelimen etähallintaan, sitten suorittaa lunnasohjelmat, jotka tunnetaan nimellä Cring palvelimella, ja muita kohteen verkossa olevia koneita vastaan.Sophos-asiantuntijat kirjoittavat.
Andrew Brandt
Andrew Brandt

Sophosin vanhempi tutkija Andrew Brandt sanoo laitteet vanhentuneilla, haavoittuvat ohjelmistot ovat hakkereiden makupala.

kuitenkin, suuri yllätys on se, että palvelinta, jossa oli 11 vuotta vanhoja ohjelmistoja, joita lunnasohjelmat hyökkäsivät, käytettiin aktiivisesti ja päivittäin. Sääntönä, haavoittuvimpia ovat käyttämättömät tai unohdetut laitteet “haamukoneet”.

Saatuaan alkupääsyn palvelimelle, hyökkääjät käyttivät erilaisia ​​kehittyneitä menetelmiä haitallisten tiedostojen piilottamiseen, syöttää koodia muistiin, ja hyökkäyksen piilottaminen korvaamalla tiedostot vioittuneilla tiedoilla. Lisäksi, hakkerit ovat poistaneet suojausratkaisut käytöstä hyödyntämällä sitä tosiasiaa, että peukaloinnin estoominaisuudet on poistettu käytöstä.

Erityisesti, hyökkääjät käyttivät hyväkseen hakemistojen läpikäynnin haavoittuvuuksia (CVE-2010-2861) Adobe ColdFusionissa 9.0.1 ja aikaisempi hallintakonsoli. Haavoittuvuudet mahdollistivat mielivaltaisten tiedostojen etälukemisen, mukaan lukien tiedostot, jotka sisältävät järjestelmänvalvojan salasanatiivisteitä (salasana.ominaisuudet).

Hyökkäyksen seuraavassa vaiheessa, hakkerit käyttivät hyväkseen ColdFusionin vielä aikaisempaa haavoittuvuutta (CVE-2009-3960) ladataksesi haitallisen Cascading Stylesheet -tyylitaulukon (CSS) tiedosto hyökätylle palvelimelle, joka puolestaan ​​latasi Cobalt Strike Beacon -suoritettavan tiedoston.

Tämä tiedosto toimi kanavana lisähyötykuormien lataamiseen, tilien luominen järjestelmänvalvojan oikeuksilla, ja jopa poistamalla käytöstä päätepistesuojauksen ja virustorjuntaohjelmat, kuten Windows Defenderin, ennen salausprosessin aloittamista.

Muistutan, että puhuimme siitä tosiasiasta Outoja haittaohjelmia estää uhreja käymästä merirosvosivustoilla.

Tunnisteet
Helga Smithsyyskuu 23, 2021Viimeksi päivitetty: syyskuu 23, 2021
40 1 minuutti luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike