В Агентстве по кибербезопасности и защите инфраструктуры США (CISA) сообщили, что хакеры активно используют критическую уязвимость в Adobe ColdFusion (CVE-2023-26360) для получения первоначального доступа к правительственным серверам.
Эта уязвимость позволяет выполнять произвольный код на серверах под управлением Adobe ColdFusion 2018 Update 15 и более ранних версий, а также 2021 Update 5 и более ранних версий. Она эксплуатировалась злоумышленниками как 0-day, пока Adobe не исправила ее в середине марта 2023 года, выпустив ColdFusion 2018 Update 16 и 2021 Update 6.
Как теперь предупреждают в CISA, невзирая на выход патчей для CVE-2023-26360, уязвимость по-прежнему используется в атаках. Например, инциденты, связанные с эксплуатацией CVE-2023-26360, произошли еще в июне и затронули системы двух неназванных федеральных ведомств. Подчеркивается, что на обоих серверах «были установлены устаревшие версии программного обеспечения, уязвимые перед различным CVE».
CISA сообщает, что злоумышленники использовали уязвимость для распространения вредоносного ПО с помощью команд HTTP POST-запросов к каталогу, связанному с ColdFusion.
Так, первый инцидент был зафиксирован 26 июня, и критическая уязвимость использовалась для взлома сервера с Adobe ColdFusion 2016.0.0.3 на борту. В этом случае злоумышленники составили список процессов, провели проверку сети и развернули веб-шелл (config.jsp), который позволил им внедрить код в конфигурационный файл ColdFusion и извлечь учетные данные.
Второй инцидент произошел 2 июня, и тогда хакеры использовали CVE-2023-26360 на сервере под управлением Adobe ColdFusion 2021.0.0.2.
В этом случае злоумышленники собрали информацию об учетной записи пользователя, после чего загрузили текстовый файл, который декодировался как троян удаленного доступа (d.jsp). После этого они попытались извлечь файлы реестра и информацию SAM. Также злоумышленники использовали имеющиеся средства безопасности для получения доступа к SYSVOL, специальному каталогу, присутствующему на каждом контроллере домена.
В обоих случаях атаки были обнаружены и заблокированы до того, как атакующие смогли получить данные или осуществить боковое перемещение, и с компрометацией удалось справиться в течение 24 часов.