Adobe已修复漏洞疑遭印尼黑客组织AnoaGhost滥用

栏目: 编程工具 · 发布时间: 6年前

内容简介:来自网络安全公司Volexity的安全专家在上周四警告称,一个在最近被修复、最终能够导致任意代码执行的Adobe ColdFusion安全漏洞已经在实际攻击活动中遭到利用。Adobe ColdFusion是Adobe公司旗下的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib)。

Adobe已修复漏洞疑遭印尼黑客组织AnoaGhost滥用

来自网络安全公司Volexity的安全专家在上周四警告称,一个在最近被修复、最终能够导致任意代码执行的Adobe ColdFusion安全漏洞已经在实际攻击活动中遭到利用。

Adobe ColdFusion是Adobe公司旗下的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是一种程序设计语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib)。

上述提到的这个漏洞被标识为CVE-2018-15961,从本质上讲是一个任意文件上传漏洞。攻击者可以利用漏洞上传任意文件到受感染的服务器,最终可能导致在易受攻击的应用程序的上下文中执行任意代码。

该漏洞是由Foundeo公司的安全研究员Pete Freitag报告的,并由 Adobe公司在9月份推出的安全更新 APSB18-33 中修复,被评定为“紧急(Critical)”漏洞。

现在,来自Volexity公司的安全专家发现并报告称,某个利用该漏洞的APT组织将已经将Webshell 管理工具“中国菜刀(China Chopper)”上传到了易受攻击的服务器。

对被黑客入侵的服务器的分析显示,虽然它已安装了几乎所有的Adobe ColdFusion更新,但并不包括对CVE-2018-15961的修复。在Adobe公司发布安全补丁仅数周之后,攻击者就利用了该漏洞。

据Volexity专家介绍,这个漏洞是在Adobe公司使用CKEditor取代FCKeditor WYSIWYG编辑器时引入的。为了利用该漏洞,攻击者只需要向upload.cfm文件发送一个特制的HTTP POST请求即可,而无需任何身份认证,且是不受限制的。

Volexity专家注意到,新的CKEditor编辑器会阻止用户上传一些存在潜在威胁的文件,如.exe和.php,但它仍然允许上传.jsp文件,而后者可以在 Adobe ColdFusion 中执行。

Volexity专家在其报告中写道:“Volexity 发现,某个APT组织利用CVE-2018-15961上传了China Chopper的JSP版本,并在被阻止之前在受影响的Web服务器上执行了命令。”
“被Volexity 发现的APT组织发现Adobe  在默认配置中没有包含 .jsp文件扩展名,这是有问题的,因为ColdFusion允许.jsp文件被主动执行。攻击者还通过‘path’表单变量找到了一个目录修改问题,允许他们将目录更改为上传文件的位置。这意味着,即使.jsp文件扩展名已经在阻止列表中,攻击者也可能在系统中的某个位置放置另一个脚本或可执行文件,以试图破坏它(可能是在重启后启动时)。在Adobe推出安全更新之后,.jsp文件扩展名已经被添加到了默认的阻止文件列表中,路径修改问题也因此得到了解决。”

在确认了该APT组织所实施的攻击之后,Volexity 公司的安全专家检查了几台可公开访问的ColdFusion服务器,其中许多服务器似乎已经受到了攻击。这些服务器被证实归属于某些政府机构、教育机构、医疗机构和人道主义救援组织,它们要么是遭到了破坏,要么是被试图上传一个webshell。

虽然目前尚不能肯定是否所有的攻击都利用了 CVE-2018-15961,但根据受攻击服务器上文件的最后修改时间来看,Volexity 公司的安全专家认为攻击者很可能在 Adobe于 9月11日推出安全更新的前几个月就已经发现了该漏洞,可能是在6月初。

Volexity 安全专家注意到,某些被破坏的网站包含了一些可以将攻击归因于AnoaGhost的信息。据信,这是一个与亲ISIS的黑客组织存在关联的印尼黑客组织。

需要额外提一下的是,CVE-2018-15961的危险系数最初被低估了。Adobe公司最初将它的优先级评级定为“2”,因为它的被利用可能性最初被认为很低。但在9月底,它的优先级被更改为了“1”。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

The Art of UNIX Programming

The Art of UNIX Programming

Eric S. Raymond / Addison-Wesley / 2003-10-3 / USD 54.99

Writing better software: 30 years of UNIX development wisdom In this book, five years in the making, the author encapsulates three decades of unwritten, hard-won software engineering wisdom. Raymond b......一起来看看 《The Art of UNIX Programming》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具