Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Федеральное агенство США подверглось атаке через неисправленную уязвимость в Adobe ColdFusion

07/12/23

ColdFusion (1)

Агентство кибербезопасности и инфраструктурной безопасности (CISA) раскрыло информацию о серьёзных атаках на два публичных сервера федерального агентства США. Преступники использовали критическую уязвимость в Adobe ColdFusion, обозначенную как CVE-2023-26360.

Уязвимость была обнародована в марте, а уже в апреле она попала в каталог известных эксплуатируемых уязвимостей CISA, где федеральным агентствам США был установлен срок до 5 апреля для её устранения, пишет Securitylab.

Тем не менее, в июне и июле было выявлено, что уязвимость так и не была исправлена, в первую очередь по вине Adobe, что позволило злоумышленникам успешно атаковать уязвимые системы на протяжении долгого времени.

CISA не предоставило информации о том, была ли уязвимость впоследствии полностью устранена, кто стоял за этими атаками, и какова официальная позиция агентства по поводу пропущенного срока исправления.

В результате анализа логов было выявлено, что федеральные серверы подверглись двум отдельным атакам. Оба атакованных сервера использовали устаревшие версии ColdFusion и были уязвимы для нескольких CVE. Злоумышленники инициировали различные команды на скомпрометированных серверах, в том числе использовали уязвимость для загрузки вредоносного ПО.

Хотя CISA не может подтвердить, были ли данные похищены, предполагается, что обе атаки были направлены на разведку для изучения более широкой сети. Неясно, связаны ли эти атаки с одними и теми же операторами.

Первая атака произошла второго июня. Злоумышленники получили доступ к серверу, используя уязвимость CVE-2023-26360, и выполнили различные задачи разведки. Однако другие фазы атаки, такие как попытки собрать учётные данные и изменить политики на скомпрометированных серверах, были неудачными.

Второе нарушение случилось 26 июня. Атакующие проэксплуатировали CVE-2023-26360 и долго исследовали систему. Однако вредоносный код не смог расшифровать пароли, так как был рассчитан на более старые версии ColdFusion.

CISA подчёркивает, что атакующие, скорее всего, получили доступ к сид-значению и методу шифрования ColdFusion, что теоретически позволяет расшифровать пароли. Несмотря на это, на скомпрометированном сервере не было обнаружено вредоносного кода, указывающего на попытки расшифровки с использованием этих значений.

Темы:СШАПреступленияAdobeCISA
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...