ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bilgisayar korsanlarının CVE-2023-26360 olarak tanımlanan Adobe Coldfusion'da devlet sunucularına ilk erişim elde etmek için aktif olarak kritik bir kırılganlıktan yararlanması konusunda uyarıyor.
Güvenlik sorunu, Adobe ColdFusion 2018 Güncellemesi 15 ve üstü ve 2021 Güncelleme 5 ve önceki işlemleri çalıştıran sunucularda keyfi kod yürütülmesine izin verir. Adobe'nin Mart ayı ortasında ColdFusion 2018 Güncelleme 16 ve 2021 Güncellemesi 6'yı serbest bırakarak sıfır bir gün olarak kullanıldı.
O sırada CISA, kusurdan yararlanan tehdit aktörleri hakkında bir bildirim yayınladı ve federal kuruluşları ve devlet hizmetlerini mevcut güvenlik güncellemelerini uygulamaya çağırdı.
Bugün bir uyarıda, Amerika'nın Siber Savunma Ajansı, CVE-2023-26360'ın hala saldırılardan yararlandığı ve Haziran ayından iki federal ajans sistemini etkileyen olayları sergilediği konusunda uyarıyor.
“Her iki olayda da, ajansın yapım öncesi ortamında kamuya açık web sunucularında bir Adobe ColdFusion güvenlik açığının potansiyel kullanımı konusunda uyarıldı”-CISA
Ajans, "her iki sunucunun da çeşitli CV'lere karşı savunmasız olan yazılım sürümlerini çalıştırdığını" belirtiyor.
CISA, tehdit aktörlerinin HTTP Post komutlarını kullanarak ColdFusion ile ilişkili dizin yoluna HTTP Post komutlarını kullanarak kötü amaçlı yazılım düşürme kırılganlığından yararlandığını söylüyor.
İlk olay 26 Haziran'da kaydedildi ve Adobe Coldfusion v2016.0.0.3 çalıştıran bir sunucuyu ihlal etmek için kritik güvenlik açığına dayanıyordu.
Saldırganlar, ağ kontrolleri ile birlikte süreç numaralandırması gerçekleştirdiler ve bir ColdFusion yapılandırma dosyasına kod eklemelerine ve kimlik bilgilerini çıkarmalarına izin veren bir web kabuğu (config.jsp) yükledi.
Etkinlikleri, varlığını gizlemek için saldırıda kullanılan dosyaların silinmesi ve tespit edilmeyen kötü amaçlı işlemleri kolaylaştırmak için C: \ IBM dizininde dosya oluşturma yer aldı.
İkinci olay 2 Haziran'da, bilgisayar korsanlarının CVE-2023-26360'ı Adobe Coldfusion v2021.0.0.2 çalıştıran bir sunucuda kullandığı zaman meydana geldi.
Bu durumda, saldırganlar uzaktan erişim Truva atı (D.JSP) olarak kod çözen bir metin dosyasını bırakmadan önce kullanıcı hesabı bilgileri topladılar.
Ardından, kayıt defteri dosyalarını ve güvenlik hesap yöneticisi (SAM) bilgilerini eklemeye çalıştılar. Saldırganlar, bir alan adındaki her etki alanı denetleyicisinde özel bir dizin olan Sysvol'e erişmek için mevcut güvenlik araçlarını istismar etti.
Her iki durumda da, davetsiz misafirler verileri püskürtmeden veya yanal olarak hareket edemeden önce saldırılar tespit edildi ve engellendi ve tehlikeye atılan varlıklar 24 saat içinde önemli ağlardan kaldırıldı.
CISA’nın analizi saldırıları keşif çabaları olarak sınıflandırıyor. Ancak, aynı tehdit oyuncunun her iki müdahalenin arkasında olup olmadığı bilinmemektedir.
Riski azaltmak için CISA, ColdFusion'ın en son kullanılabilir sürüme yükseltilmesini, ağ segmentasyonunu uygulamanızı, bir güvenlik duvarı veya WAF oluşturmayı ve imzalı yazılım yürütme politikalarının uygulanmasını önerir.
Cisa aktif olarak sömürülen Windows, Sophos ve Oracle Bugs konusunda uyarıyor
Bilgisayar korsanları, gizli saldırılarda son F5 Big-IP kusurlarını kullanır
Rus hackerlar, değişim hesaplarını ele geçirmek için Outlook Hatası'nı sömürüyor
Bilgisayar korsanları, dünya çapında Govt Networks'teki saldırılarda Citrix Bleed Kusur kullanıyor
Son zamanlarda yamalı Citrix NetScaler Bug, Ağustos ayından bu yana sıfır gün olarak sömürüldü
Kaynak: Bleeping Computer