Operaterji izsiljevalske programske opreme Cring izkoriščajo 11-letno ranljivost Adobe ColdFusion

Helga Smithseptembra 23, 2021Zadnja posodobitev: septembra 23, 2021
1 minutno branje

Neznana kibernetska kriminalna skupina je v nekaj minutah na daljavo vdrla v strežnik z zastarelo različico Adobe ColdFusion 9 in prevzel nadzor nad njim, in 79 nekaj ur kasneje na strežnik namestil izsiljevalsko programsko opremo Cring.

Strežnik v lasti neimenovanega ponudnika storitev je bil uporabljen za zbiranje časovnih listov in računovodskih podatkov za obračun plač, kot tudi za gostovanje številnih virtualnih strojev.

Glede na strokovnjakom podjetja za informacijsko varnost Sophos, napadi so bili izvedeni z internetnega naslova, ki pripada ukrajinskemu internetnemu ponudniku Zelena Floid.

V napadu, ki ga je nedavno preiskal Sophos, neznan akter grožnje je izkoristil ranljivost starodavnih let v internetu v 11 let stari namestitvi Adobe ColdFusion 9 da na daljavo prevzamete nadzor nad strežnikom ColdFusion, nato za izvajanje izsiljevalske programske opreme, znane kot Cring na strežniku, in proti drugim strojem v ciljnem omrežju.Sophosovi strokovnjaki pišejo.
Andrew Brandt
Andrew Brandt

Sophos višji raziskovalec Andrew Brandt pravi naprave z zastarelimi, ranljiva programska oprema je poslastica za hekerje.

Vendar, veliko presenečenje je dejstvo, da je bil strežnik z 11 let staro programsko opremo, napadeno z izsiljevalsko programsko opremo, aktivno in dnevno uporabljen. Kot pravilo, najbolj ranljive so neuporabljene ali pozabljene naprave “stroji duhov”.

Po pridobitvi začetnega dostopa do strežnika, napadalci so uporabili različne sofisticirane metode skrivanja zlonamernih datotek, vnašanje kode v pomnilnik, in prikrivanje napada s prepisovanjem datotek s poškodovanimi podatki. Poleg tega, hekerji so deaktivirali varnostne rešitve tako, da so izkoristili dejstvo, da so bile onemogočene funkcije za zaščito pred posegi.

Še posebej, napadalci so izkoristili ranljivosti pri prehodu imenika (CVE-2010-2861) v programu Adobe ColdFusion 9.0.1 in starejša skrbniška konzola. Ranljivosti so omogočale oddaljeno branje poljubnih datotek, vključno z datotekami, ki vsebujejo zgoščene vrednosti skrbniškega gesla (geslo.lastnosti).

V naslednji fazi napada, hekerji so izkoristili še prejšnjo ranljivost v ColdFusion (CVE-2009-3960) za nalaganje zlonamerne kaskadne tabele slogov (CSS) datoteko na napadeni strežnik, ki je nato prenesel izvedljivo datoteko Cobalt Strike Beacon.

Ta datoteka je služila kot kanal za nalaganje dodatnih tovorov, ustvarjanje računov s skrbniškimi pravicami, in celo onemogočanje zaščite končne točke in protivirusnih mehanizmov, kot je Windows Defender, preden začnete postopek šifriranja.

Naj vas spomnim, da smo govorili o tem, da Nenavadna zlonamerna programska oprema žrtvam preprečuje obisk piratskih strani.

Oznake
Helga Smithseptembra 23, 2021Zadnja posodobitev: septembra 23, 2021
1 minutno branje

Helga Smith

Vedno me je zanimalo računalništvo, zlasti varnost podatkov in tema, ki se dandanes imenuje "znanost o podatkih", že od zgodnjih najstniških let. Pred prihodom v ekipo za odstranjevanje virusov kot glavni urednik, Delal sem kot strokovnjak za kibernetsko varnost v več podjetjih, vključno z enim od Amazonovih izvajalcev. Še ena izkušnja: Poučujem na univerzah Arden in Reading.

Pustite odgovor

To spletno mesto uporablja Akismet za zmanjšanje neželene pošte. Preberite, kako se obdelujejo vaši komentarji.

Gumb Nazaj na vrh