Cringランサムウェアオペレーターが11年間のAdobeColdFusionの脆弱性を悪用

ヘルガ・スミス九月 23, 2021最終更新: 九月 23, 2021
40 1 分読み

数分のうちに未知のサイバー犯罪グループが、古いバージョンのAdobeColdFusionを使用してサーバーにリモートハッキングされました 9 そしてそれに対する支配権を握った, そして 79 数時間後、ランサムウェアCringをサーバーにデプロイしました.

名前のないサービスプロバイダーが所有するサーバーを使用して、給与のタイムシートとアカウンティングデータを収集しました, 多数の仮想マシンをホストするだけでなく.

によると 情報セキュリティ会社の専門家へ ソソソ, 攻撃は、ウクライナのインターネットプロバイダーに属するインターネットアドレスから実行されました。 グリーンフロイド.

ソフォスが最近調査した攻撃, 未知の脅威アクターが、11年前のインストールで、インターネット年の古代の脆弱性を悪用しました。 アドビ ColdFusionColdFusion 9 ColdFusionサーバーをリモートで制御する, 次に、として知られているランサムウェアを実行します クリング サーバー上, ターゲットのネットワーク上の他のマシンに対して.ソフォスのスペシャリストが.
アンドリューブラント
アンドリューブラント

ソフォスの主任研究員 アンドリューブラント 古くなったデバイスは言う, 脆弱なソフトウェアはハッカーにとってちょっとしたことです.

しかしながら, 大きな驚きは、ランサムウェアに攻撃された11年前のソフトウェアを搭載したサーバーが積極的かつ日常的に使用されていたという事実です。. 原則として, 最も脆弱なのは、未使用のデバイスまたは忘れられたデバイスです “ゴーストマシン”.

サーバーへの初期アクセスを取得した後, 攻撃者は、悪意のあるファイルを隠すためのさまざまな高度な方法を使用しました, メモリへのコードの挿入, 破損したデータでファイルを上書きすることにより、攻撃を隠蔽します. 加えて, ハッカーは、改ざん防止機能が無効になっているという事実を利用して、セキュリティソリューションを無効にしました.

特に, 攻撃者はディレクトリトラバーサルの脆弱性を悪用しました (CVE-2010-2861) AdobeColdFusionで 9.0.1 および以前の管理コンソール. 脆弱性により、任意のファイルのリモート読み取りが可能になりました, 管理者パスワードハッシュを含むファイルを含む (password.properties).

攻撃の次の段階で, ハッカーはColdFusionのさらに初期の脆弱性を悪用しました (CVE-2009-3960) 悪意のあるカスケードスタイルシートをアップロードするには (CSS) 攻撃されたサーバーへのファイル, 次に、Cobalt StrikeBeacon実行可能ファイルをダウンロードしました。.

このファイルは、追加のペイロードをダウンロードするためのコンジットとして機能しました, 管理者権限でアカウントを作成する, 暗号化プロセスを開始する前に、エンドポイント保護やWindowsDefenderなどのウイルス対策エンジンを無効にすることもできます.

私たちがその事実について話したことを思い出させてください 奇妙なマルウェア 被害者が海賊サイトを訪問するのを防ぎます.

タグ
ヘルガ・スミス九月 23, 2021最終更新: 九月 23, 2021
40 1 分読み

ヘルガ・スミス

ずっとコンピューターサイエンスに興味がありました, 特にデータセキュリティとテーマ, 現在と呼ばれている "データサイエンス", 10代前半から. 編集長としてウイルス駆除チームに参加する前に, 私はいくつかの企業でサイバーセキュリティの専門家として働いていました, Amazonの請負業者の1つを含む. 別の経験: 私はアーデン大学とレディング大学で教えています.

返信を残します

このサイトは、スパムを減らすためにアキスメットを使用しています. あなたのコメントデータが処理される方法を学びます.

トップに戻るボタン