Een groepering van staatshackers, ook wel een APT Group genoemd, valt actief servers van Adobe ColdFusion aan. Daarbij plaatst het achterdeurtjes voor toekomstige aanvallen, stellen onderzoekers van Volexity tegenover ZDNet.
De aanvallen vinden sinds eind september plaats en richten zich op ColdFusion-servers die de beveiligingsupdates van 11 september niet hebben gekregen. De hackers lijken de patches van september te hebben bestudeerd en te hebben uitgevonden hoe ze CVE-2018-15961 kunnen misbruiken.
Deze kwetsbaarheid laat de APT Group een versie van het China Chopper-achterdeurtje uploaden naar de kwetsbare servers en het volledige systeem overnemen. Het grootste probleem achter de kwetsbaarheid is dat Adobe de technologie achter de ColdFusion WYSIWYG-editor van FCKEditor heeft vervangen door die van CKEditor. CKEditor is een nieuwe en verbeterde versie van FCKEditor.
Kwetsbaarheid
Maar toen Adobe de nieuwe versie in het systeem plaatste, opende het per ongeluk een ongeautoriseerde file upload-kwetsbaarheid die het in 2009 had gepatcht bij de FCKEditor-integratie. In de eerste integratie van CKEditor zat een zwakkere blacklist voor het uploaden van bestanden, waardoor gebruikers JSP-bestanden konden uploaden naar de server. ColdFusion kan JSP-bestanden zelf uitvoeren, wat voor een gevaarlijke situatie zorgt.
De aanvallers ontdekten dat de .jsp-extensie achterwege was gelaten en misbruikten dit. Adobe kwam achter zijn fout en plaatste de JSP-bestanden in de blacklist bij de patch van september. Ook dat zagen de hackers, die twee weken later begonnen te scannen naar servers zonder de patch. Vervolgens uploadden ze een JSP-versie van het China Chopper-achterdeurtje om servers te exploiten en over te nemen.
Wat de hackers precies met de servers willen gaan doen, is onbekend. Waarschijnlijk worden ze echter gebruikt om malware te hosten en spear-phishing-campagnes te versturen.
Volexity adviseert eigenaren van ColdFusion-servers om de functie voor automatisch updaten van de server te gebruiken, om er zeker van te zijn dat hun servers updates ontvangen en installeren zodra ze beschikbaar zijn.
3 uur geleden
