美国网络安全和基础设施安全局 (CISA) 警告黑客积极利用 Adobe ColdFusion 中的一个关键漏洞（CVE-2023-26360）来获取对政府服务器的初始访问权限。

该安全问题允许在运行 Adobe ColdFusion 2018 Update 15 及更早版本以及 2021 Update 5 及更早版本的服务器上执行任意代码。在 Adobe 在 3 月中旬发布 ColdFusion 2018 Update 16 和 2021 Update 6 修复该问题之前，它曾被用作0day漏洞。

当时，CISA 发布了有关黑客组织利用该缺陷的通知，并敦促联邦组织和国家服务机构应用安全更新。

在今天的警报中，美国网络安全与基础设施安全局警告称，CVE-2023-26360 仍在攻击中被利用，并展示了 6 月份影响两个联邦机构系统的事件。

“在这两起事件中，Microsoft Defender for Endpoint (MDE) 都警告称，该机构的预生产环境中面向公众的 Web 服务器上可能存在 Adobe ColdFusion 漏洞被利用的情况” – CISA

该机构指出，“两台服务器都运行过时的软件版本，这些软件容易受到各种 CVE 的攻击。”

CISA 表示，黑客组织利用该漏洞，使用 HTTP POST 命令将恶意软件投放到与 ColdFusion 关联的目录路径中。

第一起事件发生在 6 月 26 日，利用严重漏洞破坏了运行 Adobe ColdFusion v2016.0.0.3 的服务器。

攻击者进行进程枚举和网络检查，并安装了一个 Web shell ( config.jsp )，允许他们将代码插入 ColdFusion 配置文件并提取凭据。

他们的活动包括删除攻击中使用的文件以隐藏其存在，以及在 C:\IBM 目录中创建文件以避免恶意操作不被发现。

攻击者在第一次攻击中使用的工具 （CISA）

第二起事件发生在 6 月 2 日，当时黑客在运行 Adobe ColdFusion v2021.0.0.2 的服务器上利用了 CVE-2023-26360。

在这种情况下，攻击者在删除解码为远程访问木马 ( d.jsp ) 的文本文件之前收集了用户帐户信息。

接下来，他们试图窃取注册表文件和安全帐户管理器（SAM）信息。攻击者滥用可用的安全工具来访问 SYSVOL，这是域中每个域控制器上都存在的特殊目录。

在这两起事件中，安全人员都在入侵者能够窃取数据或横向移动之前检测到并阻止了攻击，并在 24 小时内将受感染的资产从关键网络中删除。

CISA 的分析将这些攻击归类为侦察活动。然而，尚不清楚这两次入侵是否是同一攻击者所为。

为了降低风险，CISA 建议将 ColdFusion 升级到最新可用版本，应用网络分段，设置防火墙或 WAF，并强制执行签名的软件执行策略。

---

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9nd08sOf8ZKd5lZTb67NqQ

封面来源于网络，如有侵权请联系删除