来自网络安全公司Volexity的安全专家在上周四警告称,一个在最近被修复、最终能够导致任意代码执行的Adobe ColdFusion安全漏洞已经在实际攻击活动中遭到利用。
Adobe ColdFusion是Adobe公司旗下的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib)。
上述提到的这个漏洞被标识为CVE-2018-15961,从本质上讲是一个任意文件上传漏洞。攻击者可以利用漏洞上传任意文件到受感染的服务器,最终可能导致在易受攻击的应用程序的上下文中执行任意代码。
该漏洞是由Foundeo公司的安全研究员Pete Freitag报告的,并由 Adobe公司在9月份推出的安全更新APSB18-33中修复,被评定为“紧急(Critical)”漏洞。
现在,来自Volexity公司的安全专家发现并报告称,某个利用该漏洞的APT组织将已经将Webshell 管理工具“中国菜刀(China Chopper)”上传到了易受攻击的服务器。
对被黑客入侵的服务器的分析显示,虽然它已安装了几乎所有的Adobe ColdFusion更新,但并不包括对CVE-2018-15961的修复。在Adobe公司发布安全补丁仅数周之后,攻击者就利用了该漏洞。
据Volexity专家介绍,这个漏洞是在Adobe公司使用CKEditor取代FCKeditor WYSIWYG编辑器时引入的。为了利用该漏洞,攻击者只需要向upload.cfm文件发送一个特制的HTTP POST请求即可,而无需任何身份认证,且是不受限制的。
Volexity专家注意到,新的CKEditor编辑器会阻止用户上传一些存在潜在威胁的文件,如.exe和.php,但它仍然允许上传.jsp文件,而后者可以在 Adobe ColdFusion 中执行。
Volexity专家在其报告中写道:“Volexity 发现,某个APT组织利用CVE-2018-15961上传了China Chopper的JSP版本,并在被阻止之前在受影响的Web服务器上执行了命令。”
“被Volexity 发现的APT组织发现Adobe 在默认配置中没有包含 .jsp文件扩展名,这是有问题的,因为ColdFusion允许.jsp文件被主动执行。攻击者还通过‘path’表单变量找到了一个目录修改问题,允许他们将目录更改为上传文件的位置。这意味着,即使.jsp文件扩展名已经在阻止列表中,攻击者也可能在系统中的某个位置放置另一个脚本或可执行文件,以试图破坏它(可能是在重启后启动时)。在Adobe推出安全更新之后,.jsp文件扩展名已经被添加到了默认的阻止文件列表中,路径修改问题也因此得到了解决。”
在确认了该APT组织所实施的攻击之后,Volexity 公司的安全专家检查了几台可公开访问的ColdFusion服务器,其中许多服务器似乎已经受到了攻击。这些服务器被证实归属于某些政府机构、教育机构、医疗机构和人道主义救援组织,它们要么是遭到了破坏,要么是被试图上传一个webshell。
虽然目前尚不能肯定是否所有的攻击都利用了 CVE-2018-15961,但根据受攻击服务器上文件的最后修改时间来看,Volexity 公司的安全专家认为攻击者很可能在 Adobe于 9月11日推出安全更新的前几个月就已经发现了该漏洞,可能是在6月初。
Volexity 安全专家注意到,某些被破坏的网站包含了一些可以将攻击归因于AnoaGhost的信息。据信,这是一个与亲ISIS的黑客组织存在关联的印尼黑客组织。
需要额外提一下的是,CVE-2018-15961的危险系数最初被低估了。Adobe公司最初将它的优先级评级定为“2”,因为它的被利用可能性最初被认为很低。但在9月底,它的优先级被更改为了“1”。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。