L’Agenzia per la Sicurezza della Cybersecurity e delle Infrastrutture degli Stati Uniti (CISA) ha messo in guardia sulla sfruttamento attivo di una vulnerabilità di alto livello di Adobe ColdFusion da parte di non ben identificati criminali informatici per ottenere accesso iniziale ai server governativi.
Quali sono le vulnerabilità presenti in ColdFusion di Adobe
“La vulnerabilità in ColdFusion (CVE-2023-26360) si presenta come un problema di controllo di accesso improprio e lo sfruttamento di questa CVE può portare all’esecuzione arbitraria di codice“, ha dichiarato la CISA, aggiungendo che un’agenzia federale non menzionata è stata presa di mira tra giugno e luglio 2023.
Il difetto interessa ColdFusion 2018 (Aggiornamento 15 e versioni precedenti) e ColdFusion 2021 (Aggiornamento 5 e versioni precedenti); è stato (fortunatamente) successivamente risolto nelle versioni Aggiornamento 16 e Aggiornamento 6, rilasciate rispettivamente il 14 marzo 2023.
La CISA l’ha successivamente aggiunta al catalogo delle Vulnerabilità Conosciute Sfruttate (KEV), citando prove di sfruttamento attivo in vari settori; Adobe, in un avviso rilasciato in quel periodo, ha dichiarato di essere a conoscenza del problema che viene “sfruttato in natura in attacchi molto limitati”.
L’agenzia ha notato che almeno due server pubblici sono stati compromessi utilizzando la falla, entrambi dei quali eseguivano versioni obsolete del software.
“Inoltre, vari comandi sono stati avviati dagli attori minacciosi sui server web compromessi; la vulnerabilità sfruttata ha permesso ai criminali informatici di depositare malware utilizzando comandi HTTP POST nel percorso della directory associato a ColdFusion“, ha osservato la CISA.
Ci sono prove che suggeriscono che l’attività malevola sia un sforzo di ricognizione volto a mappare la rete più ampia, anche se non sono state osservate movimenti laterali o esfiltrazione di dati.
In uno degli incidenti, è stato osservato che l’avversario attraversava il filesystem e caricava vari artefatti sul server web, tra cui codici binari in grado di esportare i cookie del browser web e malware progettato per decifrare le password per le origini dei dati di ColdFusion.
Un secondo evento registrato all’inizio di giugno 2023 ha comportato il rilascio di un trojan di accesso remoto che è una versione modificata della web shell ByPassGodzilla e “utilizza un caricatore JavaScript per infettare il dispositivo e richiede la comunicazione con il server controllato dall’autore [o autori] per eseguire azioni“.
L’avversario (o chi per lui) ha anche tentato di esfiltrare i file del Registro di Windows e senza successo di scaricare dati da un server di comando e controllo (C2).
“In questo incidente, l’analisi suggerisce fortemente che gli attori minacciosi hanno probabilmente visualizzato i dati contenuti nel file seed.properties di ColdFusion tramite l’interfaccia della web shell“, ha dichiarato la CISA, aggiungendo “Il file seed.properties contiene il valore del seme e il metodo di crittografia utilizzato per crittografare le password. I valori del seme possono anche essere utilizzati per decifrare le password. Nessun codice malevolo è stato trovato sul sistema della vittima per indicare che gli autori dell’attacco hanno cercato di decodificare le password utilizzando i valori trovati nel file seed.properties“.
Conclusione
Si raccomanda pertanto gli utenti di non utilizzare versioni obsolete di ColdFusion (quindi si parla di vecchie versioni non più supportate da casa Adobe), e di tenere aggiornato non solo il programma stesso, ma anche il launcher di Adobe ed eventuali programmi connessi.
Purtroppo nonostante i svariati avvertimenti da esperti del settore informatico molte persone si affidano ancora alla pirateria per risparmiare, spesso incappando in danni collaterali sui loro dispositivi non indifferenti e tendono a non aggiornare il sistema operativo per paura di qualche problema successivo, ignorando la reale funzione delle patch di sicurezza.
