Un La vulnerabilidad en ColdFusion de Adobe permitió a los piratas informáticos violar dos servidores públicos en una agencia federal.. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un informe explicando cómo sucedió.
Vulnerabilidad de ColdFusion explotada para infiltrarse en servidores de agencias federales
Recientemente, CISA ha informado que ColdFusion de Adobe – una herramienta de desarrollo de aplicaciones, sigue representando una seria amenaza para las organizaciones. Aunque Adobe parchó la vulnerabilidad CVE-2023-26360 en marzo, CISA reveló que Este verano se violaron dos servidores web de acceso público en una agencia del gobierno federal no revelada..
Los atacantes aprovecharon la vulnerabilidad CVE-2023-26360 en el software ColdFusion, que les permitió penetrar los sistemas. Despliegan malware, incluyendo un troyano de acceso remoto (RATA), y acceder a los datos a través de una interfaz web shell. El problema es ese los servidores afectados ejecutaban versiones de ColdFusion obsoletas y vulnerables. Aunque Adobe lanzó parches en marzo, solo algunos usuarios los instalaron. Como resultado, la falta de actualizaciones dejó una oportunidad para que los intrusos obtuvieran acceso inicial.
Arreglado pero aún funciona
La falla CVE-2023-26360 en ColdFusion permite la ejecución de código arbitrario sin la acción del usuario. Adobe lanzado el parche que soluciona el problema en marzo 2023. Sin embargo, ya que algunos usuarios no ven la necesidad de instalar esta revisión, Los actores de amenazas han explotado persistentemente la vulnerabilidad en sistemas sin parches.. La falla afecta a las versiones ColdFusion 2018 Actualizar 15 y antes, así como 2021 Actualización cinco y anteriores, incluyendo versiones no compatibles.
En cuanto a los incidentes actuales, ambos ocurrieron en junio. En la primera infracción, Los piratas informáticos accedieron al servidor web. a través de una dirección IP vulnerable, explotando la falla de ColdFusion. Intentaron movimiento lateral., información vista sobre cuentas de usuario, y reconocimiento ejecutado. Además, arrojaron artefactos maliciosos, incluyendo un RAT que utiliza un cargador de JavaScript. Sin embargo, el ataque fue frustrado antes de que la exfiltración de datos fuera exitosa.
En el segundo incidente, Los atacantes comprobaron el sistema operativo del servidor web y la versión de ColdFusion., insertar código malicioso para extraer nombres de usuario, contraseñas, y URL de fuentes de datos. La evidencia sugiere que la actividad ascendió al mapeo de reconocimiento de la red en lugar del robo de datos confirmado. El código malicioso apunta a actores de amenazas’ actividades potenciales, aprovechando las credenciales comprometidas.
Buen intento, pero por favor inténtalo de nuevo más tarde
Según los expertos, aunque los atacantes lograron penetrar la red objetivo, no pudieron hacer mucho daño. Las acciones abarcaron el reconocimiento., revisiones de cuentas de usuario, distribución de malware, intentos de exfiltración de datos, y plantación de código para extraer credenciales. Se dejaron ocho artefactos junto con un shell web modificado disponible públicamente para acceso remoto..
Mientras luego estaba en cuarentena, Los activos expuestos incluían información de contraseña que podría permitir un giro más profundo de la red.. Sin embargo, no se confirmaron robos de datos ni transiciones del sistema. No está claro si uno o varios actores fueron responsables de los eventos vinculados.. Sin embargo, una cosa es segura: a pesar de que los proveedores solucionan las vulnerabilidades rápidamente, La negligencia del usuario abusa del código malicioso. sin interacción con el objetivo, incluso por parte de actores poco cualificados.
Las vulnerabilidades más antiguas causan cada vez más preocupaciones
Aparte de algunos casos extremos, Los desarrolladores de software rara vez ignoran la reparación de vulnerabilidades graves.. Sin embargo, las grandes empresas son las que definitivamente prestan menos atención. de lo que deberían. Y como podemos ver en esta historia., Esto es aplicable incluso a organizaciones gubernamentales.. Y esto es lo que genera preocupaciones..
Conforme pasé él tiempo, Los piratas informáticos encuentran cada vez más formas de explotar las mismas vulnerabilidades. Si bien algunas de ellas están siendo parcheadas por todas las partes o se vuelven ineficaces, otros siguen siendo reales y, Qué es peor, explotable. Después del descubrimiento inicial de una determinada vulnerabilidad, es obvio esperar un auge en su explotación. Esto es especialmente cierto para los programas que generalmente utilizan las grandes corporaciones, una categoría en la que caen la mayoría de las organizaciones gubernamentales..
Dejar estas vulnerabilidades sin parches es efectivamente una invitación para que un hacker visite su red. En una época moderna, turbulenta y desigual, tales decisiones rozan la imprudencia, si no un sabotaje total.