-
09/04/2020
-
85
-
552 bài viết
Lỗi ColdFusion 11 năm tuổi bị khai thác bởi 'băng đảng' ransomware khét tiếng Cring
Chỉ trong vài phút, những kẻ tấn công đã xâm nhập thành công vào một máy chủ chạy phiên bản phần mềm ColdFusion 9 có chứa lỗi 11 năm tuổi chưa được vá. 79 giờ sau khi xâm nhập, tin tặc đã chiếm được quyền kiểm soát từ xa và triển khai mã độc tống tiền Cring trong mạng của nạn nhân.
Theo nguồn tin cho biết, nạn nhân của vụ tấn công này là một công ty dịch vụ giấu tên. Máy chủ bị tấn công được sử dụng để thu thập bảng chấm công và dữ liệu kế toán cho bảng lương cũng như lưu trữ một số máy ảo. Các cuộc tấn công bắt nguồn từ một địa chỉ internet của ISP Green Floid tại Ukraine.
Nhà nghiên cứu chính của Sophos - Andrew Brandt - cho biết: “Các thiết bị chạy phần mềm lỗi thời, dễ bị tấn công là mục tiêu béo bở cho tin tặc thực hiện xâm nhập. Đáng báo động, máy chủ bị tấn công này đang được sử dụng hằng ngày. Thông thường, các thiết bị dễ bị tấn công nhất là máy không hoạt động hoặc máy ma, bị lãng quên hoặc bị bỏ quên khi có bản vá và nâng cấp".
Cuộc đột nhập này được thực hiện bằng cách khai thác bản cài đặt 11 năm tuổi của Adobe ColdFusion 9 chạy trên Windows Server 2008, cả hai đều đã “hết tuổi thọ”.
Sau khi thiết lập được “chỗ đứng” ban đầu, những kẻ tấn công đã sử dụng nhiều phương pháp tinh vi để che giấu tệp của chúng, đưa mã vào bộ nhớ và che dấu vết bằng cách ghi đè lên các tệp với dữ liệu bị cắt xén, cũng như vô hiệu hóa các chức năng bảo mật bằng cách tắt tính năng tamper-protection.
Đặc biệt, kẻ tấn công đã lợi dụng CVE-2010-2861 - một tập hợp các lỗ hổng truyền tải thư mục trong bảng điều khiển dành cho quản trị viên trong Adobe ColdFusion 9.0.1 và các phiên bản cũ hơn - để đọc các tệp tùy ý, chẳng hạn như những tệp chứa hàm băm mật khẩu quản trị viên ("password.properties").
Tiếp theo đó, tin tặc đã khai thác một lỗ hổng khác trong ColdFusion - CVE-2009-3960 - để tải tệp Cascading Stylesheet (CSS) độc hại lên máy chủ. Sau đó sử dụng nó để tải tệp thực thi Cobalt Strike Beacon. Tệp nhị phân này hoạt động như một đường dẫn để những kẻ tấn công từ xa thả các payload mới, tạo tài khoản người dùng với đặc quyền quản trị và thậm chí vô hiệu hóa hệ thống bảo vệ điểm cuối và công cụ chống phần mềm độc hại như Windows Defender, trước khi bắt đầu quá trình mã hóa.
Đây là một lời nhắc nhở rằng các quản trị viên IT cần thường xuyên cập nhật chính xác tất cả các thiết bị và không thể để các hệ thống kinh doanh quan trọng lỗi thời được kết nối với internet, tránh trường hợp trở thành miếng mồi ngon cho tin tặc.
Theo nguồn tin cho biết, nạn nhân của vụ tấn công này là một công ty dịch vụ giấu tên. Máy chủ bị tấn công được sử dụng để thu thập bảng chấm công và dữ liệu kế toán cho bảng lương cũng như lưu trữ một số máy ảo. Các cuộc tấn công bắt nguồn từ một địa chỉ internet của ISP Green Floid tại Ukraine.
Nhà nghiên cứu chính của Sophos - Andrew Brandt - cho biết: “Các thiết bị chạy phần mềm lỗi thời, dễ bị tấn công là mục tiêu béo bở cho tin tặc thực hiện xâm nhập. Đáng báo động, máy chủ bị tấn công này đang được sử dụng hằng ngày. Thông thường, các thiết bị dễ bị tấn công nhất là máy không hoạt động hoặc máy ma, bị lãng quên hoặc bị bỏ quên khi có bản vá và nâng cấp".
Cuộc đột nhập này được thực hiện bằng cách khai thác bản cài đặt 11 năm tuổi của Adobe ColdFusion 9 chạy trên Windows Server 2008, cả hai đều đã “hết tuổi thọ”.
Sau khi thiết lập được “chỗ đứng” ban đầu, những kẻ tấn công đã sử dụng nhiều phương pháp tinh vi để che giấu tệp của chúng, đưa mã vào bộ nhớ và che dấu vết bằng cách ghi đè lên các tệp với dữ liệu bị cắt xén, cũng như vô hiệu hóa các chức năng bảo mật bằng cách tắt tính năng tamper-protection.
Đặc biệt, kẻ tấn công đã lợi dụng CVE-2010-2861 - một tập hợp các lỗ hổng truyền tải thư mục trong bảng điều khiển dành cho quản trị viên trong Adobe ColdFusion 9.0.1 và các phiên bản cũ hơn - để đọc các tệp tùy ý, chẳng hạn như những tệp chứa hàm băm mật khẩu quản trị viên ("password.properties").
Tiếp theo đó, tin tặc đã khai thác một lỗ hổng khác trong ColdFusion - CVE-2009-3960 - để tải tệp Cascading Stylesheet (CSS) độc hại lên máy chủ. Sau đó sử dụng nó để tải tệp thực thi Cobalt Strike Beacon. Tệp nhị phân này hoạt động như một đường dẫn để những kẻ tấn công từ xa thả các payload mới, tạo tài khoản người dùng với đặc quyền quản trị và thậm chí vô hiệu hóa hệ thống bảo vệ điểm cuối và công cụ chống phần mềm độc hại như Windows Defender, trước khi bắt đầu quá trình mã hóa.
Đây là một lời nhắc nhở rằng các quản trị viên IT cần thường xuyên cập nhật chính xác tất cả các thiết bị và không thể để các hệ thống kinh doanh quan trọng lỗi thời được kết nối với internet, tránh trường hợp trở thành miếng mồi ngon cho tin tặc.
Nguồn: The Hacker News