FortiGuard 實驗室的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了幾個影響 Windows 和 Mac 設(shè)備的 Adobe ColdFusion 漏洞。

• 遠程攻擊者可利用Adobe ColdFusion 2021中的驗證前RCE漏洞，獲取受影響系統(tǒng)的控制權(quán)力。
• Adobe 已發(fā)布安全補丁來解決這些漏洞，但攻擊者仍在利用這些漏洞。
• 攻擊活動涉及多個階段，包括探測、反向外殼和部署惡意軟件。
• 目前已發(fā)現(xiàn)四種不同的惡意軟件： XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后門。
• 建議用戶及時升級系統(tǒng)并部署保護機制，以挫敗正在進行的攻擊。

由于 Adobe ColdFusion 存在漏洞，Windows 和 macOS 平臺的眾多用戶目前都面臨風險。該軟件套件是網(wǎng)絡(luò)應(yīng)用程序開發(fā)的熱門選擇，最近由于遠程攻擊者發(fā)現(xiàn)并利用了認證前遠程代碼執(zhí)行（RCE）漏洞而受到攻擊。這些漏洞使攻擊者有能力奪取受影響系統(tǒng)的控制權(quán)，從而將危險系數(shù)提升到了嚴重級別。

這些攻擊的核心目標是 Adobe ColdFusion 2021 中的 WDDX 反序列化過程。雖然Adobe迅速回應(yīng)了安全更新（APSB23-40、APSB23-41和APSB23-47），但FortiGuard實驗室仍觀察到持續(xù)的攻擊嘗試。

從對攻擊模式的分析，研究人員發(fā)現(xiàn)了威脅行為者執(zhí)行的一個過程。他們使用 "interactsh "等工具發(fā)起探測活動，以測試漏洞利用的有效性。觀察到這些活動涉及多個域，包括 mooo-ngcom、redteamtf 和 h4ck4funxyz。探測階段讓攻擊者深入了解了潛在漏洞，并為更多的惡意行動的做好鋪墊。

攻擊活動的復雜性還體現(xiàn)在反向外殼的使用上。通過對有效載荷進行 Base64 編碼，攻擊者試圖在未經(jīng)授權(quán)的情況下訪問受害者系統(tǒng)，從而實現(xiàn)遠程控制。

值得注意的是，分析揭示了一種多管齊下的方法，包括部署各種惡意軟件變種。攻擊是從不同的 IP 地址發(fā)起的，這引起了人們對該活動影響范圍之廣的擔憂。惡意軟件有效載荷以 Base64 編碼，在解碼前隱藏了其真實性質(zhì)。研究人員發(fā)現(xiàn)了四種不同的惡意軟件： XMRig Miner、Satan DDoS/Lucifer、RudeMiner 和 BillGates/Setag 后門。

XMRig Miner 主要與 Monero 加密貨幣挖礦有關(guān)，被用來劫持系統(tǒng)處理能力。通過利用 6.20.0 版本，攻擊者設(shè)法利用被入侵的系統(tǒng)獲取經(jīng)濟利益。

Lucifer是一個混合型機器人，結(jié)合了加密劫持和分布式拒絕服務(wù)（DDoS）功能，是一個強大的實體。該惡意軟件變種不僅展示了其挖礦能力，還展示了其在指揮和控制操作、通過漏洞傳播以及復雜的 DDoS 攻擊方面的能力。

與 "Lucifer "相連的 RudeMiner 攜帶著以前的 DDoS 攻擊遺產(chǎn)。它在當前威脅環(huán)境中的參與表明了它的持久性和適應(yīng)性，使其成為一個重大隱患。

BillGates/Setag 后門之前與 Confluence 服務(wù)器漏洞有關(guān)，在此背景下再次出現(xiàn)。表明它具有多方面的能力，包括系統(tǒng)劫持、C2 通信和多種攻擊方法，其中包括基于 SYN、UDP、ICMP 和 HTTP 的攻擊。

盡管有安全補丁可用，但攻擊的持續(xù)不斷，也突顯了采取行動的緊迫性。我們強烈建議用戶及時升級系統(tǒng)并部署保護機制，包括防病毒服務(wù)、IPS 簽名、網(wǎng)絡(luò)過濾和 IP 信譽跟蹤，以遏制持續(xù)不斷的攻擊。

參考鏈接：https://www.hackread.com/hackers-adobe-coldfusion-vulnerabilities-malware/