بهره‌برداری از یک آسیب‌پذیری حیاتی در Adobe ColdFusion

CISA در خصوص بهره‌برداری مهاجمان از یک آسیب‌پذیری مهم در Adobe ColdFusion با شناسه CVE-2023-26360 و شدت 9.8 برای دسترسی اولیه به سرورهای هشدار داد. نقص امنیتی امکان اجرای کد دلخواه را بر روی سرورها را فراهم می‌کند. سرورها به همراه نسخه‌های آسیب‌پذیر به شرح ذیل می‌باشد:

•    Adobe ColdFusion 2018 Update 15 and older
•    Adobe ColdFusion 2021 Update 5 and earlier

طبق گزارش CISA، مهاجمان با استفاده از دستورات HTTP POST که به مسیر دایرکتوری مرتبط با ColdFusion هدایت می‌شوند، از این آسیب‌پذیری جهت استقرار بدافزار بهره‌برداری می‌کنند. مهاجمان یک فرآیند کامل را به همراه ارزیابی‌های شبکه انجام دادند. متعاقباً، آن‌ها یک پوسته وب (web shell) به نام "config.jsp" را جاسازی کردند که به آن‌ها امکان تزریق کد به فایل پیکربندی ColdFusion و بازیابی اعتبارنامه‌ها را می‌دهد. اقدامات آن‌ها شامل حذف فایل‌های مورد استفاده در حمله جهت پنهان کردن ردپای خود بود و همچنین فایل‌هایی را در دایرکتوری C:\IBM تولید کردند تا عملیات مخرب را بدون شناسایی فعال کنند. در موردی دیگر ، مهاجمان اطلاعات حساب کاربری را قبل از استقرار یک فایل متنی جمع آوری کردند که پس از رمزگشایی، خود را به عنوان یک تروجان دسترسی از راه دور به نام "d.jsp" نشان می‌دهد. پس از آن، تلاش برای استخراج فایل‌های رجیستری و جزئیات مدیریت حساب امنیتی (SAM) انجام می‌‌‌‌شد

ابزارهایی که مهاجم در اولین حمله استفاده کرده است