CISA berichtet über die Ausnutzung des Adobe ColdFusion-Fehlers in einer Bundesbehörde
In diesem dynamischen Bereich der Cybersicherheit gibt es eine anhaltende Bedrohung für Unternehmen, die die ColdFusion-Anwendung von Adobe verwenden. Trotz eines im März veröffentlichten Patches wird eine ColdFusion-Schwachstelle in den ungepatchten Systemen aktiv ausgenutzt.
Dieser Artikel befasst sich mit den Details der ColdFusion-Schwachstelle, untersucht die jüngsten Vorfälle , die von der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) gemeldet wurden, und betont die Bedeutung rechtzeitiger Sicherheits-Patches.
Ausnutzung des ColdFusion-Fehlers
Die beiden von der CISA gemeldeten Vorfälle bei einer nicht genannten Bundesbehörde im Juni werfen ein Licht auf die Schwere der Ausnutzung der ColdFusion-Schwachstelle. In beiden Fällen nutzten die Angreifer die Sicherheitslücke CVE-2023-26360 in ColdFusion aus, um Zugang zu öffentlich zugänglichen Webservern zu erhalten. Die Angreifer, die möglicherweise zu einer oder mehreren separaten Gruppen gehörten, schleusten Schadsoftware ein, darunter einen Remote-Access-Trojaner (RAT), und navigierten über eine Web-Shell-Schnittstelle durch Dateisysteme.
Die CISA wies auf einen bemerkenswerten Aspekt der Vorfälle hin - die offensichtlichen Aufklärungsbemühungen der Bedrohungsakteure. Trotz des erfolgreichen Einbruchs gab es keine Hinweise auf eine Datenexfiltration oder seitliche Bewegungen. Stattdessen schienen sich die Angreifer darauf zu konzentrieren, das breitere Netzwerk abzubilden. Dies wirft Fragen zu den Motiven der Angreifer auf und deutet eher auf einen strategischen Ansatz zur Sammlung von Informationen als auf einen direkten Angriff zum Datendiebstahl hin.
Adobes Patch und die Persistenz von Bedrohungsakteuren
Im März veröffentlichte Adobe ein Patch zur Behebung der ColdFusion-Schwachstelle und erkannte eine kleine Anzahl von Angriffen "in the wild". Dennoch gibt es Grund zur Sorge, dass Bedrohungsakteure weiterhin ungepatchte Systeme ausnutzen. Bei der Sicherheitslücke CVE-2023-26360 müssen die Opfer nichts unternehmen, um beliebigen Code ausführen zu können. Sicherheitsexperten berichten von gezielten Angriffen auch nach der Implementierung des Patches, was bedeutet, dass Unternehmen wachsam bleiben und schnell Updates einspielen müssen, um ihre Systeme zu schützen.
Um die Risiken eines verzögerten Patchings zu vermeiden, können Unternehmen eine automatisierte Live-Patching-Lösung, KernelCare Enterprise, einsetzen. KernelCare wendet automatisch alle Sicherheitsupdates auf Linux-Systeme an, ohne dass ein Neustart oder eine Ausfallzeit erforderlich ist.
Erfahren Sie hier mehr über KernelCare Enterprise Live-Patching.
Schlussfolgerung
Die ColdFusion-Schwachstelle stellt ein erhebliches Risiko für Unternehmen dar, wie die von der CISA gemeldeten realen Vorfälle zeigen. Die Bedrohungsakteure führten bei den gemeldeten Vorfällen eine Reihe spezifischer Aktionen durch. Von der Ausnutzung der Schwachstelle über den Zugang zu Webservern bis hin zur Identifizierung von Gelegenheiten für Seitwärtsbewegungen und dem Einschleusen von Malware zeigten die Angreifer einen ausgeklügelten Modus Operandi.
Die Quellen für diesen Artikel sind u. a. ein Bericht von SecurityBoulevard.