La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió sobre la explotación activa de una vulnerabilidad de alta gravedad de Adobe ColdFusion por parte de actores de amenazas no identificados para obtener acceso inicial a los servidores gubernamentales.
«La vulnerabilidad en ColdFusion (CVE-2023-26360) se presenta como un problema de control de acceso inadecuado y la explotación de este CVE puede resultar en la ejecución de código arbitrario», CISA dichoy agregó que una agencia federal anónima fue atacada entre junio y julio de 2023.
La deficiencia afecta a ColdFusion 2018 (Actualización 15 y versiones anteriores) y ColdFusion 2021 (Actualización 5 y versiones anteriores). Se solucionó en las versiones Actualización 16 y Actualización 6, lanzadas el 14 de marzo de 2023, respectivamente.
Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana
¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.
CISA lo agregó al catálogo de vulnerabilidades explotadas conocidas (KEV) un día después, citando evidencia de explotación activa en la naturaleza. Adobe, en un aviso publicado en esa época, dijo que era consciente de que la falla estaba «explotada en la naturaleza en ataques muy limitados».
La agencia señaló que al menos dos servidores públicos se vieron comprometidos debido a la falla, y ambos ejecutaban versiones obsoletas del software.
«Además, los actores de amenazas iniciaron varios comandos en los servidores web comprometidos; la vulnerabilidad explotada permitió a los actores de amenazas colocar malware utilizando comandos HTTP POST en la ruta del directorio asociado con ColdFusion», señaló CISA.
Hay evidencia que sugiere que la actividad maliciosa es un esfuerzo de reconocimiento llevado a cabo para mapear la red más amplia, aunque no se ha observado ningún movimiento lateral o filtración de datos.
En uno de los incidentes, se observó al adversario atravesando el sistema de archivos y cargando varios artefactos en el servidor web, incluidos archivos binarios que son capaces de exportar cookies del navegador web, así como malware diseñado para descifrar contraseñas para fuentes de datos de ColdFusion.
Un segundo evento registrado a principios de junio de 2023 implicó la implementación de un troyano de acceso remoto que es una versión modificada del Shell web ByPassGodzilla y «utiliza un cargador de JavaScript para infectar el dispositivo y requiere comunicación con el servidor controlado por el actor para realizar acciones».
El adversario también intentó extraer los archivos del Registro de Windows, así como descargar sin éxito datos de un servidor de comando y control (C2).
«Durante este incidente, el análisis sugiere fuertemente que los actores de amenazas probablemente vieron los datos contenidos en el archivo ColdFusion seed.properties a través de la interfaz web shell», dijo CISA.
«El archivo seed.properties contiene el valor inicial y el método de cifrado utilizado para cifrar contraseñas. Los valores iniciales también se pueden utilizar para descifrar contraseñas. No se encontró ningún código malicioso en el sistema de la víctima que indique que los actores de amenazas intentaron decodificar las contraseñas utilizando el valores encontrados en el archivo seed.properties».