A A vulnerabilidade no ColdFusion da Adobe permitiu que hackers violassem dois servidores públicos em uma agência federal. A Agência de Segurança Cibernética e de Infraestrutura (CISA) publicou um relatório explicando como isso aconteceu.
Vulnerabilidade do ColdFusion explorada para infiltrar servidores de agências federais
Recentemente, A CISA informou que o ColdFusion da Adobe – uma ferramenta de desenvolvimento de aplicativos, continua a representar uma séria ameaça às organizações. Embora a Adobe tenha corrigido a vulnerabilidade CVE-2023-26360 em março, A CISA divulgou que dois servidores da web voltados ao público em uma agência governamental federal não revelada foram violados neste verão.
Os invasores exploraram a vulnerabilidade CVE-2023-26360 no software ColdFusion, o que lhes permitiu penetrar nos sistemas. Eles implantam malware, incluindo um trojan de acesso remoto (RATO), e acessar dados por meio de uma interface web shell. O problema é que os servidores afetados executavam versões desatualizadas e vulneráveis do ColdFusion. Embora a Adobe tenha lançado patches em março, apenas alguns usuários os instalaram. Como resultado, a falta de atualizações deixou uma abertura para invasores obterem acesso inicial.
Corrigido, mas ainda funciona
A falha CVE-2023-26360 no ColdFusion permite a execução arbitrária de código sem ação do usuário. Adobe lançado o patch que corrige o problema de volta em março 2023. No entanto, já que alguns usuários não veem a necessidade de instalar esse hotfix, os atores da ameaça exploraram persistentemente a vulnerabilidade em sistemas não corrigidos. A falha afeta versões do ColdFusion 2018 Atualizar 15 e antes, assim como 2021 Atualização cinco e anteriores, incluindo versões não suportadas.
Quanto aos incidentes atuais, ambos ocorreram em junho. Na primeira violação, hackers acessaram o servidor web através de um endereço IP vulnerável, explorando a falha ColdFusion. Eles tentaram movimento lateral, visualizou informações sobre contas de usuário, e executou reconhecimento. Além disso, eles lançaram artefatos maliciosos, incluindo um RAT que utiliza um carregador JavaScript. No entanto, o ataque foi frustrado antes da exfiltração de dados bem-sucedida.
No segundo incidente, os invasores verificaram o sistema operacional do servidor web e a versão do ColdFusion, inserção de código malicioso para extrair nomes de usuário, senhas, e URLs de fontes de dados. As evidências sugerem que a atividade atingiu para mapeamento de reconhecimento de rede em vez de roubo de dados confirmado. O código malicioso aponta para os atores da ameaça’ atividades potenciais, aproveitando as credenciais comprometidas.
Boa tentativa, mas tente novamente mais tarde
De acordo com os especialistas, embora os invasores tenham conseguido penetrar na rede alvo, eles não poderiam causar muito dano. Ações englobaram reconhecimento, análises de conta de usuário, distribuição de malware, tentativas de exfiltração de dados, e plantio de código para extrair credenciais. Oito artefatos foram deixados para trás junto com um web shell modificado disponível publicamente para acesso remoto.
Mais tarde em quarentena, os ativos expostos incluíam informações de senha que poderiam permitir uma articulação mais profunda da rede. No entanto, nenhum roubo de dados ou transições de sistema foram confirmados. Não está claro se um ou vários atores foram responsáveis pelos eventos vinculados. No entanto, uma coisa é certa: apesar dos fornecedores corrigirem vulnerabilidades rapidamente, a negligência do usuário abusa de código malicioso sem interação alvo, mesmo por atores pouco qualificados.
Vulnerabilidades mais antigas causam cada vez mais preocupações
Além de alguns casos extremos, os desenvolvedores de software raramente ignoram a correção de vulnerabilidades graves. Porém, as grandes empresas são aquelas que definitivamente prestam menos atenção do que deveriam. E como podemos ver nesta história, isso é aplicável até mesmo a organizações governamentais. E é isso que cria preocupações.
Conforme o tempo passa, hackers encontram cada vez mais maneiras de explorar as mesmas vulnerabilidades. Embora alguns deles estejam sendo corrigidos por todas as partes ou se tornem ineficazes, outros permanecem reais e, O que é pior, explorável. Após a descoberta inicial de uma determinada vulnerabilidade, é óbvio esperar um boom na sua exploração. Isto é especialmente verdadeiro para programas que geralmente são usados por grandes corporações – uma categoria na qual a maioria das organizações governamentais se enquadra.
Deixar essas vulnerabilidades sem correção é efetivamente um convite para um hacker fazer uma visita à sua rede. Em um tempo moderno turbulento e desigual, tais decisões beiram a imprudência, se não sabotagem total.
