12月5日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)發(fā)出警告稱(chēng)，黑客正積極利用 Adobe ColdFusion 中的一個(gè)關(guān)鍵漏洞（CVE-2023-26360）來(lái)獲取對(duì)政府服務(wù)器的初始訪(fǎng)問(wèn)權(quán)限。

該機(jī)構(gòu)指出，此漏洞能在運(yùn)行 Adobe ColdFusion 2018 Update 15 、2021 Update 5 及更早版本的服務(wù)器上執(zhí)行任意代碼，在 Adobe于3 月中旬發(fā)布 ColdFusion 2018 Update 16 和 2021 Update 6 修復(fù)該問(wèn)題之前曾被用作零日漏洞。

CISA在警告中揭露了兩起利用該漏洞的攻擊事件。第一起事件發(fā)生在6月2日，攻擊者在一臺(tái)運(yùn)行 Adobe ColdFusion v2021.0.0.2 的服務(wù)器上利用此漏洞收集了用戶(hù)賬戶(hù)信息，并試圖竊取注冊(cè)表文件和安全帳戶(hù)管理器（SAM）信息。攻擊者濫用可用的安全工具來(lái)訪(fǎng)問(wèn)域控制器上的特殊目錄 SYSVOL。

第二起事件發(fā)生在 6 月 26 日，攻擊破壞了運(yùn)行 Adobe ColdFusion v2016.0.0.3 的服務(wù)器，并安裝了一個(gè) Web shell ( config.jsp )，允許攻擊者將代碼插入 ColdFusion 配置文件并提取憑證，其活動(dòng)包括刪除攻擊中使用的文件以隱藏行蹤，以及在 C:\IBM 目錄中創(chuàng)建文件，以便在未被發(fā)現(xiàn)的情況下進(jìn)行惡意操作。

攻擊者在第二次攻擊中使用的工具

CISA 將這些攻擊歸類(lèi)為偵察活動(dòng)，但尚不清楚這兩次入侵是否是同一攻擊者所為。

為了降低風(fēng)險(xiǎn)，CISA 建議將 ColdFusion 升級(jí)到最新可用版本，設(shè)置應(yīng)用網(wǎng)絡(luò)分段、防火墻或 WAF，并強(qiáng)制執(zhí)行軟件簽名策略。