Эксперты компании Volexity сообщили о направленных атаках некой APT-группы на серверы Adobe ColdFusion. Злоумышленники используют недавно закрытую уязвимость CVE-2018-15961, чтобы установить бэкдор для использования в будущих кампаниях.

Платформа ColdFusion используется для создания мобильных и веб-приложений. В сентябре в рамках очередного пакета заплаток разработчики устранили в коде версий 2016 и 2018 годов брешь, которая позволяла загружать на сервер сторонние файлы. Компания не привела подробностей этой ошибки, однако злоумышленники провели реверс-инжиниринг патча и атакуют пользователей, которые пока не обновили ПО.

Как выяснилось, проблема крылась в новой реализации текстового редактора. Некоторое время назад заменила используемый для этого компонент FCKEditor на CKEditor, однако при этом случайно открыла одну старую уязвимость — из списка запрещенного к загрузке содержимого пропали файлы JSP (JavaServer Pages). ColdFusion может запускать такие файлы, что и создавало угрозу несанкционированного исполнения кода.

Разработчики исправили свою ошибку сентябрьским патчем, но злоумышленники заметили их первоначальный промах. Уже через две недели после выхода обновления они стали атаковать серверы с устаревшим ПО. Взломщики устанавливают JSP-версию бэкдора Chopper, который обеспечивает им полный доступ к системе.

По мнению экспертов, за инцидентами может стоять группировка, поддерживаемая китайским правительством. Об этом говорит тип бэкдора, который преступники размещают у своих жертв. Их дальнейшие шаги пока остаются неизвестными — зараженные серверы можно использовать для распространения вредоносного ПО, проведения фишинговых кампаний, создания прокси-сетей и маскировки нежелательной киберактивности.

Применение эксплойта не требует серьезной технической подготовки, что уже заставило Adobe повысить степень угрозы до максимальной. Отмечается, что еще до нынешних атак брешью могли воспользоваться некие индонезийские хактивисты, которые летом взломали несколько веб-серверов. Эксперты делают вывод об общности их методов, исходя из папки, в которой оказываются вредоносные файлы. На данный момент это единственные случаи применения бреши ColdFusion.

Компания призывает всех пользователей проверить актуальность своего ПО и при необходимости обновить его. Разработчики также напоминают, что встроенная функция ColdFusion позволяет автоматизировать этот процесс, чтобы в будущем не пропускать поступающие апдейты.

Ранее независимый ИБ-эксперт обнаружил уязвимость JavaScript-библиотеки, которая позволяла загружать сторонние файлы на веб-серверы. По оценкам специалиста, преступники использовали эту брешь с 2015 года.

Категории: Уязвимости, Хакеры