聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
本周四,Volexity 警告称,最近修复的一个影响 Adobe ColdFusion web 应用开发平台的远程代码执行漏洞已遭一个或多个威胁组织利用。
该漏洞 (CVE-2018-15961) 由 Adobe 在9月份推出的补丁星期二中修复。Adobe 将其评级为严重且不受限的文件上传漏洞,可导致任意代码执行。这是由 Foundeo 公司的研究员 Pete Freitag 披露的五个漏洞之一。
更新最初的优先评级为“2”,说明不可能遭利用。然而,Adobe 在9月末悄悄更新安全公告,原因是获悉该漏洞已遭利用,而且将 ColdFusion 2018 和 ColdFusion 2016 更新的评级调高为“1”。
从事事件响应、取证和威胁情报的 Volexity 公司表示,尚未出现对目标 ColdFusion 漏洞的公开利用。该公司表示发现某 APT 组织利用该缺陷将一个老旧的名为“China Chopper”的老旧 webshell 上传至一个易受攻击的服务器。
被攻陷的 web 服务器已安装所有的 ColdFusion 更新,除了修复 CVE-2018-15961 的补丁之外。攻击发生在 Adobe 发布修复方案大约两周后。
Volexity 公司分析认为,该漏洞是在 Adobe 决定以更新的 CKEditor 调换老旧的 FCKeditor WYSIWYG 编辑器后引入的。该安全漏洞据称和在2009年修复的某个 ColdFusion 缺陷类似。
Volexity 公司表示,这个漏洞并不难以利用,因为只需要向 upload.cfm 文件发送一个特殊构造的 HTTP POST 请求即可,而无需任何认证且是不受限制的。
虽然 CKEditor 阻止上传某种潜在的危险文件如 .exe 和 .php,但它仍然允许上传 .jsp 文件,而后者可在 ColdFusion 中执行。
Volexity 公司发现某 APT 组织利用这个弱点以及另外一个 bug 修改目的目录上传 webshell。发现攻击后,研究人员开始分析公开可访问的 ColdFusion 服务器,结果发现很多系统似乎已遭攻陷,包括政府、教育、医疗和人道主义协助机构所使用的系统。很多被黑站点已遭涂鸦或者显示出上传 webshell 的迹象。
虽然研究人员无法证实所有的攻击均利用了 CVE-2018-15961,但某些线索表明,某个非 APT 威胁组织很可能在 Adobe 于9月份发布补丁的数月之前就发现了这个缺陷,因为攻击者的某些文件的最新修订日期是在6月初。
某些目标网站包括遭涂鸦的检索文件,从而将攻击归因于 AnoaGhost 黑客组织。该组织据称基于印度尼西亚而且似乎和亲 ISIS 黑客组织之间存在关联。
推荐阅读
原文链接
https://www.securityweek.com/adobe-coldfusion-vulnerability-exploited-wild
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。