Les opérateurs de ransomware Cring exploitent la vulnérabilité Adobe ColdFusion depuis 11 ans

Helga Smithseptembre 23, 2021Dernière mise à jour: septembre 23, 2021
40 Temps de lecture 1 minute

Un groupe de cybercriminels inconnu en quelques minutes piraté à distance un serveur avec une version obsolète d'Adobe ColdFusion 9 et en a pris le contrôle, et 79 heures plus tard déployé le ransomware Cring sur le serveur.

Un serveur appartenant à un fournisseur de services anonyme a été utilisé pour collecter les feuilles de temps et les données comptables pour la paie, ainsi que pour héberger un certain nombre de machines virtuelles.

Selon aux experts de la société de sécurité de l'information Sophos, les attaques ont été menées à partir d'une adresse Internet appartenant au fournisseur d'accès Internet ukrainien Floid vert.

Dans une attaque récemment enquêtée par Sophos, un acteur de menace inconnu a exploité une vulnérabilité ancienne sur Internet dans une installation de 11 ans Adobe Fusion froide 9 pour prendre le contrôle du serveur ColdFusion à distance, puis exécuter un ransomware connu sous le nom de grincer des dents sur le serveur, et contre d'autres machines sur le réseau de la cible.Les spécialistes de Sophos écrivent.
André Brandt
André Brandt

Chercheur senior Sophos André Brandt dit appareils avec obsolètes, les logiciels vulnérables sont une friandise pour les pirates.

toutefois, la grande surprise est le fait que le serveur avec un logiciel vieux de 11 ans attaqué par un ransomware était activement et quotidiennement utilisé. Comme règle, les plus vulnérables sont les appareils inutilisés ou oubliés “machines fantômes”.

Après avoir obtenu l'accès initial au serveur, les attaquants ont utilisé diverses méthodes sophistiquées pour cacher des fichiers malveillants, injecter du code en mémoire, et dissimuler une attaque en écrasant des fichiers avec des données corrompues. en outre, les pirates ont désactivé les solutions de sécurité en profitant du fait que les fonctionnalités anti-falsification ont été désactivées.

En particulier, des attaquants ont exploité des vulnérabilités de traversée de répertoire (CVE-2010-2861) dans Adobe ColdFusion 9.0.1 et ancienne console d'administration. Les vulnérabilités permettaient la lecture à distance de fichiers arbitraires, y compris les fichiers contenant des hachages de mot de passe administrateur (mot de passe.properties).

Dans la prochaine étape de l'attaque, les pirates ont exploité une vulnérabilité encore plus ancienne dans ColdFusion (CVE-2009-3960) pour télécharger une feuille de style en cascade malveillante (CSS) fichier sur le serveur attaqué, qui à son tour a téléchargé le fichier exécutable Cobalt Strike Beacon.

Ce fichier a servi de canal pour télécharger des charges utiles supplémentaires, créer des comptes avec des privilèges d'administrateur, et même la désactivation de la protection des terminaux et des moteurs antivirus tels que Windows Defender avant de lancer le processus de chiffrement.

Permettez-moi de vous rappeler que nous avons parlé du fait que Malware étrange empêche les victimes de visiter des sites pirates.

Mots clés
Helga Smithseptembre 23, 2021Dernière mise à jour: septembre 23, 2021
40 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page