网络安全和基础设施安全局(CISA) 披露了 美国联邦机构的两台公共服务器遭受严重攻击的信息。犯罪分子利用了Adobe ColdFusion中的一个严重漏洞(编号为 CVE-2023-26360 ) 。
该漏洞 于 3 月份公开 ,并已于 4 月份被纳入 CISA 已知可利用漏洞目录中,美国联邦机构被要求在 4 月 5 日之前修复该漏洞。然而,在 6 月和 7 月, 有消息称该漏洞从未得到修补,这主要是由于 Adobe 的过错,使得攻击者随着时间的推移能够成功攻击易受攻击的系统。
CISA 没有提供有关该漏洞是否随后得到完全修补、谁是攻击幕后黑手,或者该机构对于错过修补最后期限的官方立场的信息。
对日志的分析结果表明,联邦服务器受到了两次单独的攻击。两台受攻击的服务器都使用过时版本的 ColdFusion,并且容易受到多个 CVE 的攻击。攻击者在受感染的服务器上启动了各种命令,包括利用该漏洞下载恶意软件。
虽然 CISA 无法确认数据是否被盗,但据信这两次攻击都是情报驱动的,目的是调查更广泛的网络。目前尚不清楚这些攻击是否涉及同一运营商。
第一次袭击发生在六月二日。攻击者利用CVE-2023-26360漏洞获得了服务器的访问权限并执行了各种侦察任务。然而,攻击的其他阶段,例如尝试收集凭据和更改受感染服务器上的策略,均未成功。
第二次违规发生在6月26日。攻击者利用了CVE-2023-26360,并花了很长时间探索该系统。然而,恶意代码无法解密密码,因为它是为旧版本的 ColdFusion 设计的。
CISA 强调,攻击者可能获得了种子值和 ColdFusion 加密方法的访问权限,理论上可以解密密码。尽管如此,在受感染的服务器上没有发现恶意代码,表明有人尝试使用这些值进行解密。
这些事件凸显了及时更新软件以防止此类网络攻击的必要性。即使软件供应商无法立即完全消除安全漏洞,也肯定会在后续更新中这样做。这就是为什么管理员及时安装任何安全更新极其重要的原因。“如果有用就不要碰它”的原则在这里绝对不适用。
转自安全客,原文链接:https://www.anquanke.com/post/id/291725
封面来源于网络,如有侵权请联系删除