Cring fidye yazılımı operatörleri, 11 yıllık Adobe ColdFusion güvenlik açığından yararlanıyor

Helga SmithEylül 23, 2021Son güncelleme: Eylül 23, 2021
44 1 dakika okuma süresi

Birkaç dakika içinde bilinmeyen bir siber suçlu grubu, eski bir Adobe ColdFusion sürümüne sahip bir sunucuyu uzaktan hackledi 9 ve onun kontrolünü ele geçirdi, ve 79 saatler sonra fidye yazılımı Cring'i sunucuya yerleştirdi.

Bordro için zaman çizelgelerini ve muhasebe verilerini toplamak için isimsiz bir hizmet sağlayıcıya ait bir sunucu kullanıldı, bir dizi sanal makineye ev sahipliği yapmanın yanı sıra.

Binaen bilgi güvenliği şirketinin uzmanlarına sofos, saldırılar, Ukraynalı internet sağlayıcısına ait bir internet adresinden gerçekleştirildi. Yeşil Floit.

Sophos tarafından yakın zamanda araştırılan bir saldırıda, bilinmeyen bir tehdit aktörü, 11 yıllık bir kurulumda internette çok eski bir güvenlik açığından yararlandı. Adobe Soğuk füzyon 9 ColdFusion sunucusunun kontrolünü uzaktan ele geçirmek için, daha sonra olarak bilinen fidye yazılımını yürütmek için ağlamak sunucuda, ve hedefin ağındaki diğer makinelere karşı.Sophos uzmanları yazıyor.
Andrew Brandt
Andrew Brandt

Sophos kıdemli araştırmacı Andrew Brandt eski cihazlar diyor, savunmasız yazılım, bilgisayar korsanları için bir haberdir.

ancak, büyük sürpriz ise fidye yazılımlarının saldırısına uğrayan 11 yıllık yazılıma sahip sunucunun aktif ve günlük olarak kullanılmasıdır.. Kural olarak, en savunmasız olanlar kullanılmayan veya unutulan cihazlardır “hayalet makineler”.

Sunucuya ilk erişim sağlandıktan sonra, saldırganlar kötü amaçlı dosyaları gizlemek için çeşitli karmaşık yöntemler kullandılar, kodu belleğe enjekte etme, ve bozuk veri içeren dosyaların üzerine yazarak bir saldırıyı gizleme. Ek olarak, bilgisayar korsanları, kurcalamaya karşı koruma özelliklerinin devre dışı bırakılmasından yararlanarak güvenlik çözümlerini devre dışı bıraktı.

Özellikle, saldırganlar dizin geçiş güvenlik açıklarından yararlandı (CVE-2010-2861) Adobe ColdFusion'da 9.0.1 ve önceki yönetim konsolu. Güvenlik açıkları, rastgele dosyaların uzaktan okunmasına izin verdi, yönetici parolası karmalarını içeren dosyalar dahil (şifre.özellikler).

Saldırının bir sonraki aşamasında, bilgisayar korsanları ColdFusion'daki daha da eski bir güvenlik açığından yararlandı (CVE-2009-3960) kötü amaçlı bir Basamaklı Stil Sayfası yüklemek için (CSS) saldırıya uğrayan sunucuya dosya, bu da Cobalt Strike Beacon yürütülebilir dosyasını indirdi.

Bu dosya, ek yükleri indirmek için bir kanal görevi gördü, yönetici ayrıcalıklarıyla hesap oluşturma, ve hatta şifreleme işlemine başlamadan önce Windows Defender gibi uç nokta korumasını ve virüsten koruma motorlarını devre dışı bırakmak.

Şu gerçeği konuştuğumuzu hatırlatmama izin verin. Garip kötü amaçlı yazılım kurbanların korsan sitelerini ziyaret etmelerini engeller.

Etiketler
Helga SmithEylül 23, 2021Son güncelleme: Eylül 23, 2021
44 1 dakika okuma süresi

Helga Smith

Bilgisayar bilimlerine her zaman ilgi duymuşumdur., özellikle veri güvenliği ve tema, günümüzde denilen "veri bilimi", ilk gençlik yıllarımdan beri. Baş Editör olarak Virüs Temizleme ekibine gelmeden önce, Birkaç şirkette siber güvenlik uzmanı olarak çalıştım, Amazon'un yüklenicilerinden biri dahil. Başka bir deneyim: Arden ve Reading üniversitelerinde öğretmenlik var.

Cevap bırakın

Bu site spam azaltmak için Akismet kullanır. Yorumunuz verileri işlenirken öğrenin.

Başa dön tuşu