Selon la société de cybersécurité Sophos, deux vulnérabilités ColdFusion corrigées par Adobe il y a plus de dix ans ont été exploitées par des acteurs malveillants lors d’une attaque récente.

Sophos a récemment enquêté sur une attaque au cours de laquelle un acteur malveillant inconnu a déployé le ransomware Cring sur les systèmes d’une société de services anonyme. L’attaque a commencé lorsque l’attaquant a analysé le Web à la recherche de cibles potentielles et identifié une installation ColdFusion vulnérable sur le site Web de la victime.

Les pirates ont ensuite exploité CVE-2010-2861, une vulnérabilité de traversée de chemin ColdFusion qui conduit à la divulgation d’informations, pour obtenir un fichier de mot de passe du serveur. Ils ont ensuite exploité une autre ancienne vulnérabilité ColdFusion, CVE-2009-3960, pour télécharger un fichier shell Web sur le serveur. Le shell Web a ensuite été utilisé pour charger une charge utile Cobalt Strike Beacon.

Au cours des prochains jours, les cybercriminels ont téléchargé plus de fichiers sur le serveur compromis, exécuté des commandes, créé des tâches planifiées, déployé des shells Web supplémentaires, créé des comptes d’utilisateurs et déplacé vers d’autres appareils du réseau. Environ 79 heures après l’intrusion initiale, ils ont livré le ransomware Cring, qui a crypté les fichiers et envoyé une note invitant la victime à payer une rançon pour obtenir le décrypteur.

Sophos a noté que le serveur initialement ciblé exécutait ColdFusion 9, qui a atteint sa fin de vie en 2016, et Windows Server 2008, qui n’est plus pris en charge par Microsoft depuis janvier 2020 (sauf pour les organisations qui paient pour les mises à jour de sécurité étendues).

Bien que CVE-2010-2861 soit connu pour être exploité dans des attaques, il ne semble pas y avoir de rapports indiquant que CVE-2009-3960 aurait été exploité dans des attaques. Cependant, les exploits pour CVE-2009-3960 sont inclus dans plusieurs outils de piratage, il n’est donc pas surprenant qu’il ait été utilisé par des acteurs malveillants.

Quant au ransomware Cring, Kaspersky a signalé plus tôt cette année qu’il avait été déployé dans des attaques…

Voir la source de cette publication