Серверы Adobe ColdFusion атакуют через недавно исправленную уязвимость

Эксперт компании Volexity Мэтью Мельцер (Matthew Meltzer) предупреждает, что «правительственные хакеры» атакуют серверы Adobe ColdFusion и оставляют на них бэкдоры для будущих операций.

По данным специалиста, атаки начались еще в сентябре текущего года, через две недели после того, как разработчики Adobe выпустили патч для уязвимости CVE-2018-15961 в ColdFusion. Корень проблемы заключается в том, что некоторое время назад разработчики заменили WYSIWYG-редактор ColdFusion (сменили старый FCKEditor на более продвинутый CKEditor). Во время этой замены специалисты компании случайно открыли возможность неавторизованной загрузки файлов.

Дело в том, что CKEditor имеет не слишком широкие возможности в области фильтрации загружаемых файлов. В частности, пользователь может загрузить на сервер файлы JSP. Так как ColdFusion может их выполнить, Мельцер пишет, что возникла большая проблема, ведь теперь хакеры используют эту уязвимость для загрузки на уязвимые машины бэкдора China Chopper.

Хотя в сентябре баг был исправлен, похоже, что серьезные кибершпионские группы сумели отреверсить опубликованный патч, ведь спустя всего две недели начались атаки на непропатченные серверы Adobe ColdFusion. Впрочем, эксперт Volexity подчеркивает, что эксплуатировать проблему CVE-2018-15961 совсем нетрудно, и предполагает, что атаки могли начаться даже до релиза исправления. В связи с этим он призывает администраторов проверить, активны ли автоматические обновления и, если нужно, как можно скорее обновить свои установки ColdFusion.

Пока неясно, как именно хакеры намерены использовать скомпрометированные с помощью бэкдора China Chopper серверы, но Мельцер предполагает, что можно ожидать размещения на зараженных машинах малвари для направленного фишинга или атак типа watering hole, а также серверы могут использоваться для маскировки действий злоумышленников и стать частью сети прокси.

Источник