Финансируемая государством кибершпионская группировка активно взламывает серверы Adobe ColdFusion и заражает их бэкдорами для дальнейших атак.
Как сообщают специалисты компании Volexity, в конце сентября нынешнего года злоумышленники начали атаковать серверы ColdFusion, на которых не были установлены последние обновления, выпущенные производителем 11 сентября. Похоже, преступники осуществили реверс-инжиниринг сентябрьских обновлений от Adobe и выяснили, как в собственных интересах проэксплуатировать уязвимость CVE-2018-15961.
Данная уязвимость позволяет загружать файлы без аутентификации, и с ее помощью злоумышленники смогли установить на необновленные серверы версию бэкдора China Chopper и получить контроль над всей системой. Уязвимость существует, поскольку Adobe заменила использующуюся в редакторе ColdFusion WYSIWYG "родную" технологию FCKEditor на CKEditor. В процессе замены открылась уязвимость, исправленная в интеграции FCKEditor с ColdFusion еще в 2009 году.
Adobe поняла свою ошибку и исправила ее в сентябрьских обновлениях. Тем не менее, проблема не ускользнула от глаз кибершпионов, и спустя две недели после выхода патчей они начали активно сканировать интернет в поисках уязвимых серверов.
Для чего злоумышленникам понадобились серверы, пока неизвестно. Как правило, группировки подобного рода используют взломанные серверы как перевалочный пункт для хранения вредоносного ПО, рассылки целенаправленного фишинга, атак watering hole или в качестве прокси.
Уязвимость CVE-2018-15961 очень легко проэксплуатировать, поэтому системным администраторам рекомендуется как можно скорее установить обновления.
