Bilgisayar Korsanları, Federal Kurum Sunucularını İhlal Etmek için ColdFusion Güvenlik Açığından Yararlandı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), tanımlanamayan tehdit aktörleri tarafından devlet sunucularına ilk erişimi elde etmek için yüksek önem derecesine sahip bir Adobe ColdFusion güvenlik açığından aktif olarak yararlanıldığı konusunda uyardı.

CISA, "ColdFusion'daki (CVE-2023-26360) güvenlik açığı, uygunsuz bir erişim kontrolü sorunu olarak ortaya çıkıyor ve bu CVE'nin kötüye kullanılması rastgele kod yürütülmesine neden olabilir" dedi ve Haziran ve Temmuz 2023 arasında adı açıklanmayan bir federal kurumun hedef alındığını da sözlerine ekledi.

Eksiklik, ColdFusion 2018'i (Güncelleme 15 ve önceki sürümler) ve ColdFusion 2021'i (Güncelleme 5 ve önceki sürümler) etkiler. Sırasıyla 14 Mart 2023'te yayınlanan Güncelleme 16 ve Güncelleme 6 sürümlerinde giderildi.

CISA tarafından bir gün sonra Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklendi ve vahşi doğada aktif istismar kanıtı gösterildi. Adobe, o sıralarda yayınlanan bir danışma belgesinde, kusurun "vahşi doğada çok sınırlı saldırılarda istismar edildiğinin" farkında olduğunu söyledi.

Ajans, her ikisi de yazılımın eski sürümlerini çalıştıran en az iki halka açık sunucunun kusur kullanılarak ele geçirildiğini belirtti.

"Ek olarak, güvenliği ihlal edilmiş web sunucularında tehdit aktörleri tarafından çeşitli komutlar başlatıldı; istismar edilen güvenlik açığı, tehdit aktörlerinin HTTP POST komutlarını kullanarak kötü amaçlı yazılımları ColdFusion ile ilişkili dizin yoluna bırakmasına izin verdi" dedi.

Kötü niyetli faaliyetin, daha geniş ağı haritalamak için gerçekleştirilen bir keşif çabası olduğunu gösteren kanıtlar vardır, ancak herhangi bir yanal hareket veya veri hırsızlığı gözlemlenmemiştir.

Olaylardan birinde, saldırganın dosya sisteminde gezindiği ve web tarayıcısı çerezlerini dışa aktarabilen ikili dosyalar ve ColdFusion veri kaynakları için parolaların şifresini çözmek için tasarlanmış kötü amaçlı yazılımlar da dahil olmak üzere çeşitli yapıları web sunucusuna yüklediği gözlemlendi.

Haziran 2023'ün başlarında kaydedilen ikinci bir olay, ByPassGodzilla web kabuğunun değiştirilmiş bir sürümü olan ve "cihaza virüs bulaştırmak için bir JavaScript yükleyici kullanan ve eylemleri gerçekleştirmek için aktör tarafından kontrol edilen sunucuyla iletişim gerektiren" bir uzaktan erişim truva atının konuşlandırılmasını gerektirdi.

Ayrıca, düşman tarafından Windows Kayıt Defteri dosyalarını sızdırma ve bir komuta ve kontrol (C2) sunucusundan başarısız bir şekilde veri indirme girişimleri de üstlenildi.

CISA, "Bu olay sırasında analiz, tehdit aktörlerinin ColdFusion seed.properties dosyasında yer alan verileri muhtemelen web kabuğu arayüzü aracılığıyla görüntülediğini güçlü bir şekilde gösteriyor" dedi.

"seed.properties dosyası, parolaları şifrelemek için kullanılan çekirdek değerini ve şifreleme yöntemini içerir. Çekirdek değerler, parolaların şifresini çözmek için de kullanılabilir. Kurbanın sisteminde, tehdit aktörlerinin seed.properties dosyasında bulunan değerleri kullanarak herhangi bir parolanın kodunu çözmeye çalıştığını gösteren kötü amaçlı bir kod bulunamadı."