Bilgisayar Korsanları Federal Ajans Sunucularına Erişmek İçin ColdFusion Güvenlik Açıklarından Yararlandı


06 Aralık 2023Haber odasıGüvenlik Açığı / Web Sunucusu Güvenliği

Adobe ColdFusion Güvenlik Açığı

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), devlet sunucularına ilk erişim elde etmek amacıyla kimliği belirsiz tehdit aktörleri tarafından yüksek önemdeki Adobe ColdFusion güvenlik açığından aktif olarak yararlanıldığı konusunda uyardı.

CISA, “ColdFusion’daki (CVE-2023-26360) güvenlik açığı, uygunsuz bir erişim kontrolü sorunu olarak ortaya çıkıyor ve bu CVE’nin kullanılması keyfi kod yürütülmesine neden olabilir” dedi ve Haziran ile Temmuz 2023 arasında isimsiz bir federal kurumun hedef alındığını ekledi.

Bu eksiklik ColdFusion 2018’i (Güncelleme 15 ve önceki sürümler) ve ColdFusion 2021’i (Güncelleme 5 ve önceki sürümler) etkilemektedir. Bu sorun sırasıyla 14 Mart 2023’te yayımlanan Güncelleme 16 ve Güncelleme 6 sürümlerinde ele alınmıştır.

YAKLAŞAN WEBİNAR

Kodu Kırmak: Siber Saldırganların İnsan Psikolojisinden Nasıl Yararlandığını Öğrenin

Sosyal mühendisliğin neden bu kadar etkili olduğunu hiç merak ettiniz mi? Yaklaşan web seminerimizde siber saldırganların psikolojisinin derinliklerine dalın.

Şimdi Katıl

Bir gün sonra CISA tarafından Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna, vahşi doğada aktif istismarın kanıtları öne sürülerek eklendi. Adobe, o sıralarda yayınlanan bir tavsiye belgesinde, kusurun “çok sınırlı saldırılarla vahşi ortamda istismar edildiğinin” farkında olduğunu söyledi.

Ajans, bu kusur nedeniyle halka açık en az iki sunucunun ele geçirildiğini ve her ikisinin de yazılımın eski sürümlerini çalıştırdığını belirtti.

CISA, “Ek olarak, tehdit aktörleri tarafından ele geçirilen web sunucularında çeşitli komutlar başlatıldı; istismar edilen güvenlik açığı, tehdit aktörlerinin HTTP POST komutlarını kullanarak kötü amaçlı yazılımları ColdFusion ile ilişkili dizin yoluna bırakmasına olanak tanıdı” dedi.

Herhangi bir yanal hareket veya veri sızıntısı gözlemlenmemiş olsa da, kötü niyetli faaliyetin daha geniş ağın haritasını çıkarmak için yürütülen bir keşif çalışması olduğunu gösteren kanıtlar mevcut.

Olaylardan birinde, saldırganın dosya sisteminde gezindiği ve web tarayıcı çerezlerini dışarı aktarabilen ikili dosyalar ile ColdFusion veri kaynaklarının şifrelerini çözmek için tasarlanmış kötü amaçlı yazılımlar da dahil olmak üzere çeşitli yapıları web sunucusuna yüklediği gözlemlendi.

Haziran 2023’ün başlarında kaydedilen ikinci bir olay, ByPassGodzilla web kabuğunun değiştirilmiş bir versiyonu olan ve “cihaza bulaşmak için bir JavaScript yükleyicisi kullanan ve eylemleri gerçekleştirmek için aktör kontrollü sunucuyla iletişim kurmayı gerektiren” bir uzaktan erişim truva atının konuşlandırılmasını içeriyordu.

Siber güvenlik

Düşman tarafından ayrıca Windows Kayıt Defteri dosyalarının dışına sızma ve bir komut ve kontrol (C2) sunucusundan başarısız bir şekilde veri indirme girişimleri de gerçekleştirildi.

CISA, “Bu olay sırasında analiz, tehdit aktörlerinin muhtemelen ColdFusion tohum.properties dosyasında yer alan verileri web kabuğu arayüzü aracılığıyla görüntülediğini güçlü bir şekilde ortaya koyuyor” dedi.

“Seed.properties dosyası, şifreleri şifrelemek için kullanılan tohum değerini ve şifreleme yöntemini içerir. Tohum değerleri, şifrelerin şifresini çözmek için de kullanılabilir. Kurban sisteminde, tehdit aktörlerinin, şifreleri kullanarak herhangi bir şifreyi çözmeye çalıştığını gösteren herhangi bir kötü amaçlı kod bulunamadı. tohum.properties dosyasında bulunan değerler.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link