Yetkililer Adobe ColdFusion müşterilerini derhal yamaları yüklemeye ve sistemlerini güncellemeye çağırıyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kuruluşları Adobe ColdFusion’daki kritik bir güvenlik açığının kimliği belirsiz tehdit aktörleri tarafından istismar edildiği konusunda uyaran bir Siber Güvenlik Tavsiyesi (CSA) yayınladı.
Güvenlik açığı, CVE-2023-26360Adobe ColdFusion 2018 Güncelleme 15 (ve öncesi) ve 2021 Güncelleme 5 (ve öncesi) sürümlerinin yanı sıra Adobe’nin artık desteklemediği eski ColdFusion kurulumlarını da etkiler.
CVE-2023-26360’ın kötüye kullanılması, tehdit aktörlerinin etkilenen sistemlerde rastgele kod yürütmesine olanak tanıyarak önemli bir güvenlik riski oluşturur. Güvenlik açığı, keşfinin hemen ardından CISA’nın bilinen istismar edilen güvenlik açığı (KEV) kataloğuna eklendi ve kurumlara sorunu düzeltmeleri için 5 Nisan’a kadar süre verildi.
Adobe ColdFusion, web uygulaması geliştirme için yaygın olarak kullanılan bir yazılım paketidir. Hackread bu güvenlik açığını ortaya çıktığından beri bildiriyor. keşfetti Martta. Ağustos 2023’te, hem Windows hem de macOS platformlarını etkileyen bu kritik uzaktan kod yürütme (RCE) kusurunun, saldırganların etkilenen sistemlerin kontrolünü ele geçirmesine olanak tanıdığını ve bunun yüksek önemde bir siber güvenlik riski haline geldiğini bildirmiştik. Adobe piyasaya sürülmüş Aşağıdaki güvenlik açıklarını gidermek için güvenlik yamaları:
- APSB23-40
- APSB23-41
- APSB23-47
Ancak FortiGuard Laboratuvarları o dönemde istismar girişimlerinin devam ettiğini gözlemledi ve bu da bazı kullanıcıların henüz yamaları uygulamadığını gösteriyor.
Şimdi aynı güvenlik açığı, kimliği belirsiz bilgisayar korsanları tarafından Federal Sivil Yürütme Şubesindeki iki sisteme erişim sağlamak için kullanıldı (FCEB) Ajans. Bildirildiğine göre FCEB, ColdFusion da dahil olmak üzere eski sürümleri çalıştırıyordu ve bu da onu istismara karşı savunmasız hale getiriyordu. Bilgisayar korsanları, ajansın üretim öncesi ortamında halka açık iki web sunucusuna ilk erişim sağlamayı başardılar.
Federal Sivil Yürütme Şubesi (FCEB) kurumu içindeki halka açık en az iki sunucu Hedeflenen Haziran ve Temmuz 2023 arasında bu güvenlik açığıyla karşılaşıldı. İşte saldırıların ayrıntıları:
2 Haziran: İlk erişim, keşif faaliyetleri (yerel/etki alanı yönetici bilgileri, ağ yapılandırmaları, kullanıcı ayrıntıları) ve uzaktan erişim truva atının dağıtımı (FARE). Verileri sızdırma, kimlik bilgilerini alma, C2 altyapısından veri indirme ve politikaları değiştirme girişimleri başarısız oldu.
26 Haziran: Saldırganlar, kötü amaçlı bir IP adresi aracılığıyla bağlanarak güvenlik açığından yararlandı ve çalışan işlemleri analiz etti. Dosya sisteminde gezindiler, günlükleri sildiler ve ColdFusion sürüm 9 ve altı için tasarlanmış (kullanıcı adlarını, parolaları ve URL’leri hedefleyen) kötü amaçlı kod çalıştırdılar.
Kod, gelecekteki saldırılara olanak tanıyabilir ve bilinmeyen bir kaynaktan ek dosyalar yükleyebilir. Ajansın daha yeni ColdFusion sürümü nedeniyle şifrenin şifresinin çözülmesi mümkün değildi. Web kabuğunu gizleme girişimleri de başarısız oldu.
Bilgisayar korsanları kötü amaçlı yazılım yerleştirip bir keşif kampanyası başlatabilirken, veri sızıntısı veya yanal hareket olduğuna dair bir kanıt yok. Ajans, uyarıyı aldıktan sonra 24 saat içinde ele geçirilen sunucuları ağdan kaldırdı. CISA, iki saldırının aynı operatörlerden kaynaklanıp kaynaklanmadığını henüz açıklığa kavuşturmadı.
İLGİLİ MAKALELER
- ABD Web Sitelerinin %68’i Bot Saldırılarına Maruz Kalıyor
- Sahte Kilitleme Modu, iOS Kullanıcılarını Kötü Amaçlı Yazılım Saldırılarına Maruz Bırakıyor
- Siber Saldırı, ABD Su Ajansı’ndaki İsrail Yapımı Ekipmanı Bozdu
- Bilgisayar Korsanları Binlerce Idaho Ulusal Laboratuar Çalışanının PII Verilerini Sızdırdı
- USPS Teslimat Kimlik Avı Dolandırıcılığı, SaaS Sağlayıcılarını Veri Çalmak İçin İstismar Ediyor