Les opérateurs de ransomware Cring exploitent la vulnérabilité Adobe ColdFusion depuis 11 ans
Un groupe de cybercriminels inconnu en quelques minutes piraté à distance un serveur avec une version obsolète d'Adobe ColdFusion 9 et en a pris le contrôle, et 79 heures plus tard déployé le ransomware Cring sur le serveur.
Un serveur appartenant à un fournisseur de services anonyme a été utilisé pour collecter les feuilles de temps et les données comptables pour la paie, ainsi que pour héberger un certain nombre de machines virtuelles.
Selon aux experts de la société de sécurité de l'information Sophos, les attaques ont été menées à partir d'une adresse Internet appartenant au fournisseur d'accès Internet ukrainien Floid vert.
Chercheur senior Sophos André Brandt dit appareils avec obsolètes, les logiciels vulnérables sont une friandise pour les pirates.
toutefois, la grande surprise est le fait que le serveur avec un logiciel vieux de 11 ans attaqué par un ransomware était activement et quotidiennement utilisé. Comme règle, les plus vulnérables sont les appareils inutilisés ou oubliés “machines fantômes”.
Après avoir obtenu l'accès initial au serveur, les attaquants ont utilisé diverses méthodes sophistiquées pour cacher des fichiers malveillants, injecter du code en mémoire, et dissimuler une attaque en écrasant des fichiers avec des données corrompues. en outre, les pirates ont désactivé les solutions de sécurité en profitant du fait que les fonctionnalités anti-falsification ont été désactivées.
En particulier, des attaquants ont exploité des vulnérabilités de traversée de répertoire (CVE-2010-2861) dans Adobe ColdFusion 9.0.1 et ancienne console d'administration. Les vulnérabilités permettaient la lecture à distance de fichiers arbitraires, y compris les fichiers contenant des hachages de mot de passe administrateur (mot de passe.properties).
Dans la prochaine étape de l'attaque, les pirates ont exploité une vulnérabilité encore plus ancienne dans ColdFusion (CVE-2009-3960) pour télécharger une feuille de style en cascade malveillante (CSS) fichier sur le serveur attaqué, qui à son tour a téléchargé le fichier exécutable Cobalt Strike Beacon.
Permettez-moi de vous rappeler que nous avons parlé du fait que Malware étrange empêche les victimes de visiter des sites pirates.