Hackers invadem agências governamentais dos EUA usando exploit do Adobe ColdFusion

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) está alertando sobre hackers que exploram uma vulnerabilidade crítica no Adobe ColdFusion identificada como CVE-2023-26360 para obter acesso a servidores governamentais.

A vulnerabilidade permite a execução de código maliciosos em servidores que executam o Adobe ColdFusion 2018 Update 15 e anteriores e 2021 Update 5 e anteriores. Essa vulnerabilidade foi explorada como um zero-day antes que a Adobe corrigisse em meados de março, lançando a atualização 16 do ColdFusion 2018 e a atualização 6 de 2021.

Na época, a CISA publicou um aviso sobre os hackers que exploravam a falha e recomendou que as organizações federais e os serviços estaduais a aplicarem as atualizações de segurança disponíveis.

Em um alerta publicado hoje 05/12/2023, a Agência de Defesa Cibernética dos EUA alerta que o CVE-2023-26360 ainda é utilizado em ataques, mostrando incidentes de junho que impactaram dois sistemas de agências federais.

A agência observa que “ambos os servidores executavam versões desatualizadas de software que são vulneráveis a vários CVEs”.

A CISA afirma que os hackers aproveitaram a vulnerabilidade para executar um malware usando comandos HTTP POST no caminho do diretório associado ao ColdFusion.

O primeiro incidente foi registrado em 26 de junho e contou com a vulnerabilidade crítica para violar um servidor executando o Adobe ColdFusion v2016.0.0.3.

Os invasores conduziram a enumeração de processos com verificações de rede e instalaram um web shell (config.jsp) que lhes permitiu inserir código em um arquivo de configuração do ColdFusion e extrair credenciais.

Suas atividades incluíram a exclusão de arquivos usados no ataque para ocultar sua presença e a criação de arquivos no diretório C:\IBM para facilitar operações maliciosas não detectadas.

O segundo incidente ocorreu em 2 de junho, quando os hackers exploraram o CVE-2023-26360 em um servidor executando o Adobe ColdFusion v2021.0.0.2.

Nesse caso, os invasores coletaram informações da conta do usuário antes de descartar um arquivo de texto decodificado como um trojan de acesso remoto (d.jsp).

Em seguida, eles tentaram roubar arquivos do registro e informações do gerente de contas de segurança (SAM). Os invasores usaram as ferramentas de segurança disponíveis para acessar o SYSVOL, um diretório especial presente em todos os controladores de domínio de um domínio.

Em ambos os casos, os ataques foram detectados e bloqueados antes que os invasores conseguissem roubar dados ou se mover lateralmente, e os ativos comprometidos foram removidos de redes cruciais em 24 horas.

A análise da CISA categoriza os ataques como esforços de reconhecimento. No entanto, não se sabe se o mesmo ofensor está por trás de ambas as invasões.

Para mitigar o risco, a CISA recomenda atualizar o ColdFusion para a versão mais recente disponível, aplicar segmentação de rede, configurar um firewall ou WAF e aplicar políticas de execução de software assinadas.

Via - Bleeping Computer