再次暴露的ColdFusion漏洞：针对美国联邦机构的攻击

关键要点

• 有攻击者利用已知的Adobe ColdFusion漏洞，对美国一家联邦机构实施了两次攻击，距离修复漏洞的最后期限已过去两个月。
• CISA在12月5日发布的网络安全通告中揭示了这一事件，涉及的联邦机构并未被公开命名。
• 攻击利用了CVE-2023-26360这一不当访问控制漏洞，可导致任意代码执行。
• 涉及的ColdFusion版本包括2018版的16号更新之前和2021版的6号更新之前的版本，此外还有两个Adobe已不再支持的老版本。

事件概况

在CISA的通告中指出，Adobe在3月发布了对该漏洞的补丁，并表示当时已有极少量的针对漏洞的攻击在实际环境中发生。然而，12月5日的通告显示，相关机构并未在4月5日的最后期限前应用该补丁。

网络日志分析显示，在受影响的机构环境中，至少有两台面向公众的服务器在6月和7月间遭到攻击，使攻击者能够在两次不同的情况下“在两台机构系统上建立初步的立足点”。

CISA的通告中提到：“在这两起事件中，Microsoft Defender for Endpoint（MDE）警告了可能利用AdobeColdFusion漏洞的公众服务器上存在的风险。这两台服务器均运行着漏洞软件的过时版本。”

攻击手法分析

CISA指出，攻击者在被攻陷的网络服务器上启动了多项活动。通过利用CVE-2023-26360，他们使用HTTPPOST命令向ColdFusion相关的目录路径投放了恶意软件。

在第二起事件中，他们还放置了一个远程访问木马（RAT），该木马是一个经过修改的公开可用的Web Shell代码，名为ByPassGodzilla。

CISA表示：“分析表明，攻击者的恶意活动是一种侦察工作，旨在绘制更广泛的网络地图。”

此外，攻击者还试图访问SYSVOL，该目录用于向机构域控制器上的域成员发送策略和登录脚本。CISA表示：“这一尝试并未成功。如果成功，攻击者或许可以更改所有受影响服务器上的策略。”

目前没有证据表明在任何一次事件中存在成功的数据外泄或横向移动。

安全建议

在其通告中，CISA建议组织采取多项措施以缓解ColdFusion漏洞，首先是升级所有受CVE-2023-26360影响的软件版本。

更一般来说，CISA建议组织保持所有软件的最新状态，优先修补KEV目录中所列的漏洞，并优先解决面向互联网系统的漏洞。

如需了解更多关于该事件的信息，请参考CISA的。