Actores de amenazas no identificados violaron un servidor que ejecuta una versión de 11 años sin parche del software ColdFusion 9 de Adobe en minutos para tomar el control de forma remota e implementar el ransomware Cring de cifrado de archivos en la red del objetivo 79 horas después del ataque.

El servidor, que pertenecía a una empresa de servicios sin nombre, se utilizó para recopilar hojas de horas y datos contables para la nómina, así como para alojar varias máquinas virtuales, según un informe publicado por Sophos y compartido con The Hacker News. Los ataques se originaron en una dirección de Internet asignada al ISP ucraniano Green Floid.

«Los dispositivos que ejecutan el software vulnerable, obsoleta están colgando-fruta bajo para cyberattackers que buscan una forma fácil en un objetivo,» Sophos investigador principal Andrew Brandt dijo . «Lo sorprendente es que este servidor estaba en uso diario activo. A menudo, los dispositivos más vulnerables son máquinas inactivas o fantasmas, ya sea olvidadas o pasadas por alto cuando se trata de parches y actualizaciones».

La firma británica de software de seguridad dijo que el «robo rápido» fue posible gracias a la explotación de una instalación de hace 11 años de Adobe ColdFusion 9 que se ejecuta en Windows Server 2008, y ambos han llegado al final de su vida útil.

Cring ransomware

Al hacerse un hueco inicial, los atacantes utilizaron una amplia gama de métodos sofisticados para ocultar sus archivos, inyectar código en la memoria y cubrir sus huellas sobrescribiendo los archivos con datos confusos, sin mencionar el desarme de los productos de seguridad aprovechando el hecho de que la manipulación se desactivaron las funciones de protección.

Especialmente, el adversario aprovechó CVE-2010-2861 , un conjunto de vulnerabilidades transversales de directorio en la consola de administrador en Adobe ColdFusion 9.0.1 y versiones anteriores que podrían ser abusadas por atacantes remotos para leer archivos arbitrarios, como aquellos que contienen hashes de contraseña de administrador. («contraseña.propiedades»).

En la siguiente etapa, se cree que el actor malintencionado aprovechó otra vulnerabilidad en ColdFusion, CVE-2009-3960 , para cargar un archivo de hoja de estilo en cascada (CSS) malicioso en el servidor y, en consecuencia, lo utilizó para cargar un ejecutable de Cobalt Strike Beacon. Este binario, entonces, actuó como un conducto para que los atacantes remotos soltaran cargas útiles adicionales, crearan una cuenta de usuario con privilegios de administrador e incluso deshabilitaran los sistemas de protección de terminales y los motores anti-malware como Windows Defender, antes de comenzar el proceso de cifrado.

«Este es un claro recordatorio de que los administradores de TI se benefician de tener un inventario preciso de todos sus activos conectados y no pueden dejar los sistemas comerciales críticos desactualizados frente a la Internet pública», dijo Brandt. «Si las organizaciones tienen estos dispositivos en cualquier lugar de su red, pueden estar seguras de que atraerán a los ciberatacantes».

Fuente y redacción: thehackernews.com

Compartir