Adobe ColdFusion 漏洞已遭利用

编译：360代码卫士团队

本周四，Volexity 警告称，最近修复的一个影响 Adobe ColdFusion web 应用开发平台的远程代码执行漏洞已遭一个或多个威胁组织利用。

该漏洞 (CVE-2018-15961) 由 Adobe 在9月份推出的补丁星期二中修复。Adobe 将其评级为严重且不受限的文件上传漏洞，可导致任意代码执行。这是由 Foundeo 公司的研究员 Pete Freitag 披露的五个漏洞之一。

更新最初的优先评级为“2”，说明不可能遭利用。然而，Adobe 在9月末悄悄更新安全公告，原因是获悉该漏洞已遭利用，而且将 ColdFusion 2018 和 ColdFusion 2016 更新的评级调高为“1”。

从事事件响应、取证和威胁情报的 Volexity 公司表示，尚未出现对目标 ColdFusion 漏洞的公开利用。该公司表示发现某 APT 组织利用该缺陷将一个老旧的名为“China Chopper”的老旧 webshell 上传至一个易受攻击的服务器。

被攻陷的 web 服务器已安装所有的 ColdFusion 更新，除了修复 CVE-2018-15961 的补丁之外。攻击发生在 Adobe 发布修复方案大约两周后。

Volexity 公司分析认为，该漏洞是在 Adobe 决定以更新的 CKEditor 调换老旧的 FCKeditor WYSIWYG 编辑器后引入的。该安全漏洞据称和在2009年修复的某个 ColdFusion 缺陷类似。

Volexity 公司表示，这个漏洞并不难以利用，因为只需要向 upload.cfm 文件发送一个特殊构造的 HTTP POST 请求即可，而无需任何认证且是不受限制的。

虽然 CKEditor 阻止上传某种潜在的危险文件如 .exe 和 .php，但它仍然允许上传 .jsp 文件，而后者可在 ColdFusion 中执行。

Volexity 公司发现某 APT 组织利用这个弱点以及另外一个 bug 修改目的目录上传 webshell。发现攻击后，研究人员开始分析公开可访问的 ColdFusion 服务器，结果发现很多系统似乎已遭攻陷，包括政府、教育、医疗和人道主义协助机构所使用的系统。很多被黑站点已遭涂鸦或者显示出上传 webshell 的迹象。

虽然研究人员无法证实所有的攻击均利用了 CVE-2018-15961，但某些线索表明，某个非 APT 威胁组织很可能在 Adobe 于9月份发布补丁的数月之前就发现了这个缺陷，因为攻击者的某些文件的最新修订日期是在6月初。

某些目标网站包括遭涂鸦的检索文件，从而将攻击归因于 AnoaGhost 黑客组织。该组织据称基于印度尼西亚而且似乎和亲 ISIS 黑客组织之间存在关联。

原文链接

https://www.securityweek.com/adobe-coldfusion-vulnerability-exploited-wild

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。