Новости Интернет Сообщества

Китайская APT Group использует уязвимость на не обновленных серверах Adobe ColdFusion

В сентябре Adobe исправила многочисленные критические уязвимости в ColdFusion. Однако через пару недель после того, как Adobe выпустила исправления, исследователи заметили активную эксплуатацию уязвимости Adobe ColdFusion во всем мире. Сообщается, что они идентифицировали, что китайская APT группа активно использует уязвимость. Группа атакует не обновленные серверы, то есть те, которые не были обновлены.

Adobe CloudFusion эксплуатируется во всем мире

Исследователи из Volexity обнаружили активную эксплуатацию уязвимости Adobe ColdFusion. Хотя Adobe уже исправила уязвимость, похоже, хакеры воспользовались деталями, которые компания опубликовала в своих отчетах, после чего начали использовать недостатки в своих целях.

Уязвимость, используемая в этом случае, является ошибкой загрузки файлов (CVE-2018-15961). Использование данной уязвимости может привести к произвольному выполнению кода — и это именно то, что сделали хакеры. Нападение принадлежит китайской группе APT, которая выполняла прямые загрузки веб-оболочки China Chopper на уязвимые серверы ColdFusion.

Что касается того, как они смогли эксплуатировать уязвимость, Volexity сказали в отчете:

«Уязвимость легко эксплуатируется с помощью простого POST запроса в HTTP-заголовок, направленный на файл upload.cfm, который ничем не ограничен и не требует никакой аутентификации».

Согласно Volexity, уязвимость возникла, когда Adobe переключила редактор ColdFusion WYSIWYG с FCKEditor на CKEditor. Хотя Adobe уже всё исправили, хакеры не упустили возможности использовать уязвимость на не обновленных серверах. Они просто заметили, что CKEditor не включает расширение .jsp-файла среди ограниченных расширений загрузки файлов. Они также получили доступ к переменной «path» и этим самым получили доступ к изменению всех каталогов. Поэтому ничто не могло помешать их планам.

Сообщается, что Volexity определила различные не обновленные серверы ColdFusion, принадлежащие разным учреждениям, которые оказались скомпрометированными. Затем Volexity проинформировала Adobe, которые не знали о каких-либо эксплойтах.

Обновляйте программное обеспечение!

Основной причиной успеха группы хакеров является то, что они нашли серверы, которые не обновляли программное обеспечение. Из этого можно сделать вывод, что для того, чтобы обеспечить адекватную защиты, нужно обновлять программное обеспечение на серверах компании. Что касается серверов CloudFusion, рекомендуется обновить ПО, а также ограничить доступ, предоставив его только нескольким доверенным IP адресам.

Подписывайтесь на обновления сайта, а также на наш Telegram.

Proxy White Advertisement

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close