De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwde voor actieve exploitatie van een zeer ernstige Adobe ColdFusion-kwetsbaarheid door niet-geïdentificeerde bedreigingsactoren om initiële toegang te krijgen tot overheidsservers.
“De kwetsbaarheid in ColdFusion (CVE-2023-26360) presenteert zich als een ongepast toegangscontroleprobleem en exploitatie van deze CVE kan resulteren in het uitvoeren van willekeurige code”, aldus CISA, eraan toevoegend dat tussen juni en juli 2023 een niet bij naam genoemde federale instantie het doelwit was.
De tekortkoming heeft betrekking op ColdFusion 2018 (Update 15 en eerdere versies) en ColdFusion 2021 (Update 5 en eerdere versies). Het probleem is verholpen in respectievelijk de versies Update 16 en Update 6, uitgebracht op 14 maart 2023.
Het werd een dag later door CISA toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, onder verwijzing naar bewijs van actieve uitbuiting in het wild. Adobe zei in een advies dat rond die tijd werd uitgebracht, dat het op de hoogte is van het feit dat de fout “in het wild wordt uitgebuit met zeer beperkte aanvallen”.
Het bureau merkte op dat ten minste twee openbare servers door de fout waren gehackt, die beide verouderde versies van de software draaiden.
“Bovendien werden verschillende commando’s geïnitieerd door de bedreigingsactoren op de gecompromitteerde webservers; de uitgebuite kwetsbaarheid zorgde ervoor dat de bedreigingsactoren malware konden droppen met behulp van HTTP POST-commando’s naar het directorypad dat geassocieerd was met ColdFusion”, merkte CISA op.
Er zijn aanwijzingen dat de kwaadwillige activiteit een verkenningspoging is die wordt uitgevoerd om het bredere netwerk in kaart te brengen, hoewel er geen zijdelingse beweging of data-exfiltratie is waargenomen.
Bij een van de incidenten werd waargenomen dat de tegenstander het bestandssysteem doorkruiste en verschillende artefacten naar de webserver uploadde, waaronder binaire bestanden die webbrowsercookies kunnen exporteren, evenals malware die is ontworpen om wachtwoorden voor ColdFusion-gegevensbronnen te ontsleutelen.
Een tweede gebeurtenis die begin juni 2023 werd geregistreerd, betrof de inzet van een trojan voor externe toegang, een aangepaste versie van de ByPassGodzilla-webshell en “gebruikt een JavaScript-lader om het apparaat te infecteren en vereist communicatie met de door de acteur bestuurde server om acties uit te voeren.”
De tegenstander ondernam ook pogingen om de Windows-registerbestanden te exfiltreren en om tevergeefs gegevens te downloaden van een command-and-control (C2)-server.
“Tijdens dit incident wijst de analyse er sterk op dat de bedreigingsactoren waarschijnlijk de gegevens in het ColdFusion Seed.properties-bestand via de webshell-interface hebben bekeken”, aldus CISA.
“Het bestand Seed.properties bevat de zaadwaarde en de versleutelingsmethode die worden gebruikt om wachtwoorden te versleutelen. De zaadwaarden kunnen ook worden gebruikt om wachtwoorden te ontsleutelen. Er is geen kwaadaardige code gevonden op het slachtoffersysteem die erop wijst dat de bedreigingsactoren hebben geprobeerd wachtwoorden te decoderen met behulp van de waarden gevonden in het bestand seed.properties.”
