Cring Ransomware Gang využíva 11-ročnú chybu ColdFusion

Neidentifikovaní aktéri hrozieb narušili server s neopravenou, 11-ročnou verziou ColdFusion od Adobe 9 softvér v priebehu niekoľkých minút na diaľku prevziať kontrolu a nasadiť Cring ransomware na šifrovanie súborov v cieľovej sieti 79 hodín po hacknutí.

Podľa správy publikovanej spoločnosťou Sophos a zdieľanej s The Hacker News sa server, ktorý patril nemenovanej spoločnosti poskytujúcej služby, používal na zhromažďovanie časových výkazov a účtovných údajov pre mzdy, ako aj na hosťovanie niekoľkých virtuálnych strojov. Útoky pochádzali z internetovej adresy pridelenej ukrajinskému ISP Green Floid.

„Zariadenia so zraniteľným a zastaraným softvérom sú pre kyberútočníkov, ktorí hľadajú ľahkú cestu k cieľu, nenáročným ovocím,“ povedal hlavný výskumník Sophos Andrew Brandt. “Prekvapivou vecou je, že tento server sa aktívne každodenne používal. Často sú najzraniteľnejšie zariadenia neaktívne alebo strašidelné stroje, na ktoré sa buď zabudlo, alebo sa na ne pri opravách a aktualizáciách zabudlo.”

Britská firma na bezpečnostný softvér uviedla, že „rýchle vlámanie“ bolo možné vďaka využitiu 11-ročnej inštalácie Adobe ColdFusion. 9 beží ďalej Windows Server 2008, oba dosiahli koniec životnosti.

Po získaní počiatočnej pozície útočníci použili širokú škálu sofistikovaných metód na ukrytie svojich súborov, vloženie kódu do pamäte a zakrytie stôp prepísaním súborov skomolenými údajmi, nehovoriac o odzbrojení bezpečnostných produktov využívaním skutočnosti, že ochranné funkcie boli vypnuté.

Protivník špeciálne využil CVE-2010-2861, súbor zraniteľností pri prechode adresárov v správcovskej konzole v Adobe ColdFusion. 9.0.1 a skôr, ktoré by mohli vzdialení útočníci zneužiť na čítanie ľubovoľných súborov, ako sú napríklad súbory obsahujúce hash hesiel správcu (“password.properties”).

V ďalšej fáze sa predpokladá, že zlý aktér zneužil ďalšiu zraniteľnosť v ColdFusion, CVE-2009-3960, na nahranie škodlivého súboru kaskádových štýlov (CSS) na server a následne ho použil na načítanie spustiteľného súboru Cobalt Strike Beacon. Tento binárny súbor potom fungoval ako kanál pre vzdialených útočníkov na zrušenie ďalšieho užitočného zaťaženia, vytvorenie používateľského účtu s oprávneniami správcu a dokonca vypnutie systémov ochrany koncových bodov a antimalvérových nástrojov, ako sú Windows Defender, pred začatím procesu šifrovania.

„Toto je jasná pripomienka, že IT administrátori ťažia z presného súpisu všetkých ich pripojených aktív a nemôžu nechať zastarané kritické obchodné systémy vystavené verejnému internetu,“ povedal Brandt. „Ak majú organizácie tieto zariadenia kdekoľvek vo svojej sieti, môžu si byť isté, že kyberútočníci budú priťahovaní.“