Кібершпигуни активно зламують сервери Adobe ColdFusion і заражають їх бекдорами для подальших атак
Кібершпигуни активно зламують сервери Adobe ColdFusion і заражають їх бекдорами для подальших атак
Кібершпигунське угруповання активно зламує сервери Adobe ColdFusion і заражає їх бекдорами для подальших атак.
Як повідомляють фахівці компанії Volexity, наприкінці вересня цього року зловмисники почали атакувати сервери ColdFusion, на яких не були встановлені останні оновлення, випущені виробником 11 вересня. Схоже, злочинці здійснили реверс-інжиніринг вересневих оновлень від Adobe та з'ясували, як у власних інтересах проексплуатувати вразливість CVE-2018-15961.
Ця вразливість дозволяє завантажувати файли без аутентифікації, і за її допомогою зловмисники змогли встановити на неоновлені сервери версію бекдору China Chopper та отримати контроль над усією системою. Уразливість існує, оскільки Adobe замінила використовується в редакторі ColdFusion WYSIWYG "рідну" технологію FCKEditor на CKEditor. У процесі заміни відкрилася вразливість, виправлена в інтеграції FCKEditor із ColdFusion ще у 2009 році.
Adobe зрозуміла свою помилку і виправила її у вересневих оновленнях. Проте проблема не вислизнула від очей кібершпигунів, і через два тижні після виходу патчів вони почали активно сканувати інтернет у пошуках вразливих серверів.
Для чого зловмисникам знадобилися сервери, наразі невідомо. Як правило, угруповання подібного роду використовують зламані сервери як перевалочний пункт для зберігання шкідливого ПЗ, розсилки цілеспрямованого фішингу,атак watering hole або як проксі.
Вразливість CVE-2018-15961 дуже легко проексплуатувати, тому системним адміністраторам рекомендується якнайшвидше встановити оновлення.
