Cring勒索软件团伙利用11岁的ColdFusion漏洞

身份不明的威胁参与者在几分钟内入侵了一台服务器，该服务器运行的是一个未打补丁的11年版本的Adobe ColdFusion 9软件，在黑客攻击79小时后远程接管控制并在目标网络上部署文件加密勒索软件

根据Sophos发布并与《黑客新闻》分享的一份报告，这台服务器属于一家未具名的服务公司，用于收集工资单的时间表和会计数据，以及托管多台虚拟机。这些攻击源于分配给乌克兰ISP Green Floid的互联网地址

“运行易受攻击的过时软件的设备对于寻找进入目标的简单方法的网络攻击者来说是一个很容易实现的目标，”Sophos首席研究员Andrew Brandt说。“令人惊讶的是，这台服务器在日常使用中处于活动状态。通常最易受攻击的设备是非活动或幽灵机，在修补和升级时，它们要么被遗忘，要么被忽视。”

这家英国安全软件公司表示，“快速入侵”是通过利用在Windows Server 2008上运行了11年的Adobe ColdFusion 9安装而实现的，这两个安装都已到了生命的尽头

在获得初步立足点后，攻击者使用各种复杂的方法隐藏文件，将代码注入内存，并通过用乱码数据覆盖文件来掩盖其踪迹，更不用说利用篡改保护功能被关闭的事实来解除安全产品

特别是，对手利用了CVE-2010-2861，这是Adobe ColdFusion 9.0.1及更早版本中管理员控制台中的一组目录遍历漏洞，远程攻击者可能会滥用该漏洞读取任意文件，例如包含管理员密码哈希（“password.properties”）的文件

在下一阶段，坏演员被认为利用了ColdFusion中的另一个漏洞CVE-2009-3960，将恶意级联样式表（CSS）文件上载到服务器，从而使用它加载可执行文件。然后，这个二进制文件充当了远程攻击者在开始加密过程之前丢弃额外有效负载、创建具有管理员权限的用户帐户，甚至禁用端点保护系统和Windows Defender等反恶意软件引擎的管道

“这是一个鲜明的提醒，IT管理员可以从他们所有连接资产的准确库存中获益，并且不能忽略面向公共互联网的过时关键业务系统，”布兰特说。“如果组织在其网络上的任何地方都有这些设备，他们可以肯定网络攻击者会被它们吸引。”