Adobe已修复漏洞疑遭印尼黑客组织AnoaGhost滥用

来自网络安全公司Volexity的安全专家在上周四警告称，一个在最近被修复、最终能够导致任意代码执行的Adobe ColdFusion安全漏洞已经在实际攻击活动中遭到利用。

Adobe ColdFusion是Adobe公司旗下的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是一种程序设计语言，类似现在的JSP里的JSTL（JSP Standard Tag Lib）。

上述提到的这个漏洞被标识为CVE-2018-15961，从本质上讲是一个任意文件上传漏洞。攻击者可以利用漏洞上传任意文件到受感染的服务器，最终可能导致在易受攻击的应用程序的上下文中执行任意代码。

该漏洞是由Foundeo公司的安全研究员Pete Freitag报告的，并由 Adobe公司在9月份推出的安全更新 APSB18-33 中修复，被评定为“紧急（Critical）”漏洞。

现在，来自Volexity公司的安全专家发现并报告称，某个利用该漏洞的APT组织将已经将Webshell 管理工具“中国菜刀（China Chopper）”上传到了易受攻击的服务器。

对被黑客入侵的服务器的分析显示，虽然它已安装了几乎所有的Adobe ColdFusion更新，但并不包括对CVE-2018-15961的修复。在Adobe公司发布安全补丁仅数周之后，攻击者就利用了该漏洞。

据Volexity专家介绍，这个漏洞是在Adobe公司使用CKEditor取代FCKeditor WYSIWYG编辑器时引入的。为了利用该漏洞，攻击者只需要向upload.cfm文件发送一个特制的HTTP POST请求即可，而无需任何身份认证，且是不受限制的。

Volexity专家注意到，新的CKEditor编辑器会阻止用户上传一些存在潜在威胁的文件，如.exe和.php，但它仍然允许上传.jsp文件，而后者可以在 Adobe ColdFusion 中执行。

Volexity专家在其报告中写道：“Volexity 发现，某个APT组织利用CVE-2018-15961上传了China Chopper的JSP版本，并在被阻止之前在受影响的Web服务器上执行了命令。”
“被Volexity 发现的APT组织发现Adobe  在默认配置中没有包含 .jsp文件扩展名，这是有问题的，因为ColdFusion允许.jsp文件被主动执行。攻击者还通过‘path’表单变量找到了一个目录修改问题，允许他们将目录更改为上传文件的位置。这意味着，即使.jsp文件扩展名已经在阻止列表中，攻击者也可能在系统中的某个位置放置另一个脚本或可执行文件，以试图破坏它（可能是在重启后启动时）。在Adobe推出安全更新之后，.jsp文件扩展名已经被添加到了默认的阻止文件列表中，路径修改问题也因此得到了解决。”

在确认了该APT组织所实施的攻击之后，Volexity 公司的安全专家检查了几台可公开访问的ColdFusion服务器，其中许多服务器似乎已经受到了攻击。这些服务器被证实归属于某些政府机构、教育机构、医疗机构和人道主义救援组织，它们要么是遭到了破坏，要么是被试图上传一个webshell。

虽然目前尚不能肯定是否所有的攻击都利用了 CVE-2018-15961，但根据受攻击服务器上文件的最后修改时间来看，Volexity 公司的安全专家认为攻击者很可能在 Adobe于 9月11日推出安全更新的前几个月就已经发现了该漏洞，可能是在6月初。

Volexity 安全专家注意到，某些被破坏的网站包含了一些可以将攻击归因于AnoaGhost的信息。据信，这是一个与亲ISIS的黑客组织存在关联的印尼黑客组织。

需要额外提一下的是，CVE-2018-15961的危险系数最初被低估了。Adobe公司最初将它的优先级评级定为“2”，因为它的被利用可能性最初被认为很低。但在9月底，它的优先级被更改为了“1”。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。