Operadores de ransomware Cring exploram a vulnerabilidade do Adobe ColdFusion de 11 anos

Helga Smithsetembro 23, 2021Última Actualização setembro 23, 2021
40 lido 1 minuto

Um grupo cibercriminoso desconhecido em questão de minutos invadiu remotamente um servidor com uma versão desatualizada do Adobe ColdFusion 9 e assumiu o controle sobre ele, e 79 horas depois implantou o ransomware Cring no servidor.

Um servidor pertencente a um provedor de serviços não identificado foi usado para coletar planilhas de horas e dados contábeis para folha de pagamento, bem como hospedar uma série de máquinas virtuais.

De acordo com para os especialistas da empresa de segurança da informação Sophos, os ataques foram realizados a partir de um endereço de Internet pertencente ao provedor ucraniano de Internet Flóide Verde.

Em um ataque recentemente investigado pela Sophos, um ator de ameaça desconhecido explorou uma vulnerabilidade milenar na internet em uma instalação de 11 anos de idade Adobe Fusão a frio 9 para assumir o controle do servidor ColdFusion remotamente, em seguida, para executar um ransomware conhecido como Cring no servidor, e contra outras máquinas na rede do alvo.Especialistas da Sophos escrevem.
Andrew Brandt
Andrew Brandt

Pesquisador sênior da Sophos Andrew Brandt diz dispositivos com desatualizado, software vulnerável é um petisco para hackers.

Contudo, a grande surpresa é o fato de que o servidor com software de 11 anos atacado por ransomware foi usado ativa e diariamente. Como uma regra, os mais vulneráveis ​​são dispositivos não usados ​​ou esquecidos “máquinas fantasmas”.

Depois de obter acesso inicial ao servidor, os invasores usaram vários métodos sofisticados para ocultar arquivos maliciosos, injetando código na memória, e ocultar um ataque sobrescrevendo arquivos com dados corrompidos. além do que, além do mais, os hackers desativaram as soluções de segurança, aproveitando o fato de que os recursos anti-adulteração foram desativados.

Em particular, invasores exploraram vulnerabilidades de travessia de diretório (CVE-2010-2861) no Adobe ColdFusion 9.0.1 e console de administração anterior. As vulnerabilidades permitiam a leitura remota de arquivos arbitrários, incluindo arquivos contendo hashes de senha de administrador (password.properties).

Na próxima fase do ataque, os hackers exploraram uma vulnerabilidade ainda anterior no ColdFusion (CVE-2009-3960) para fazer upload de uma folha de estilo em cascata maliciosa (CSS) arquivo para o servidor atacado, que por sua vez baixou o arquivo executável Cobalt Strike Beacon.

Este arquivo serviu como um canal para o download de cargas úteis adicionais, criar contas com privilégios de administrador, e até mesmo desabilitando a proteção de endpoint e mecanismos antivírus como o Windows Defender antes de iniciar o processo de criptografia.

Deixe-me lembrá-lo de que falamos sobre o fato de Malware estranho impede que as vítimas visitem sites piratas.

Tag
Helga Smithsetembro 23, 2021Última Actualização setembro 23, 2021
40 lido 1 minuto

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo