Cring-ransomware-operators maken misbruik van 11 jaar Adobe ColdFusion-kwetsbaarheid

Helga Smithseptember 23, 2021Laatst bijgewerkt: september 23, 2021
40 1 minuut lezen

Een onbekende cybercriminele groep heeft binnen enkele minuten op afstand een server gehackt met een verouderde versie van Adobe ColdFusion 9 en greep er de controle over, en 79 uren later zette de ransomware Cring op de server.

Er is een server gebruikt die eigendom is van een niet nader genoemde serviceprovider om urenstaten en boekhoudgegevens voor de salarisadministratie te verzamelen, evenals om een ​​aantal virtuele machines te hosten.

Volgens aan de experts van het informatiebeveiligingsbedrijf Sophos, de aanvallen werden uitgevoerd vanaf een internetadres van de Oekraïense internetprovider Groene Vloed.

Bij een recentelijk door Sophos . onderzochte aanval, een onbekende dreigingsactor maakte misbruik van een kwetsbaarheid die in internetjaren oud was in een 11 jaar oude installatie van Adobe ColdFusion 9 om de ColdFusion-server op afstand te bedienen, om vervolgens ransomware uit te voeren die bekend staat als ineenkrimpen op de server, en tegen andere machines op het netwerk van het doelwit.Sophos-specialisten schrijven.
Andrew Brandt
Andrew Brandt

Sophos senior onderzoeker Andrew Brandt zegt apparaten met verouderd, kwetsbare software is een lekkernij voor hackers.

Echter, de grote verrassing is dat de server met 11 jaar oude software die werd aangevallen door ransomware actief en dagelijks werd gebruikt. Als regel, de meest kwetsbare zijn ongebruikte apparaten of vergeten “spookmachines”.

Na het verkrijgen van de eerste toegang tot de server, de aanvallers gebruikten verschillende geavanceerde methoden om kwaadaardige bestanden te verbergen, code in het geheugen injecteren, en een aanval verbergen door bestanden te overschrijven met beschadigde gegevens. In aanvulling op, hackers hebben beveiligingsoplossingen gedeactiveerd door gebruik te maken van het feit dat anti-manipulatiefuncties waren uitgeschakeld.

Vooral, aanvallers maakten misbruik van kwetsbaarheden in directory-traversal (CVE-2010-2861) in de Adobe ColdFusion 9.0.1 en eerdere beheerconsole. Door de kwetsbaarheden konden willekeurige bestanden op afstand worden gelezen, inclusief bestanden die hashes van beheerderswachtwoorden bevatten (wachtwoord.eigenschappen).

In de volgende fase van de aanval, de hackers maakten gebruik van een nog eerdere kwetsbaarheid in ColdFusion (CVE-2009-3960) om een ​​kwaadaardig Cascading Stylesheet te uploaden (CSS) bestand naar de aangevallen server, die op zijn beurt het uitvoerbare bestand Cobalt Strike Beacon heeft gedownload.

Dit bestand diende als kanaal voor het downloaden van extra payloads, accounts maken met beheerdersrechten, en zelfs het uitschakelen van eindpuntbeveiliging en antivirus-engines zoals Windows Defender voordat het versleutelingsproces wordt gestart.

Laat me je eraan herinneren dat we het hadden over het feit dat Vreemde malware voorkomt dat slachtoffers piratensites bezoeken.

Tags
Helga Smithseptember 23, 2021Laatst bijgewerkt: september 23, 2021
40 1 minuut lezen

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop