ClickCease CISA denuncia la explotación de un fallo de ColdFusion en una agencia federal

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

CISA denuncia la explotación de un fallo de Adobe ColdFusion en una agencia federal

Rohan Timalsina

19 de diciembre de 2023 - Equipo de expertos TuxCare

En este dinámico campo de la ciberseguridad, una amenaza persistente sigue cerniéndose sobre las empresas que utilizan la aplicación ColdFusion de Adobe. A pesar de un parche publicado en marzo, un fallo de ColdFusion está siendo explotado activamente en los sistemas sin parche.

Este artículo explora los detalles de la vulnerabilidad de ColdFusion, examina los recientes incidentes notificados por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos y subraya la importancia de aplicar a tiempo los parches de seguridad.

 

Explotación del fallo de ColdFusion

 

Los dos incidentes comunicados por CISA en una agencia federal no revelada en junio arrojan luz sobre la gravedad de la explotación del fallo ColdFusion. En ambos casos, los atacantes aprovecharon la vulnerabilidad CVE-2023-26360 de ColdFusion para acceder a servidores web públicos. Los atacantes, que podrían pertenecer a uno o varios grupos distintos, instalaron software malicioso, incluido un troyano de acceso remoto (RAT), y navegaron por los sistemas de archivos utilizando una interfaz de shell web.

CISA destacó un aspecto digno de mención de los incidentes: los aparentes esfuerzos de reconocimiento por parte de los actores de la amenaza. A pesar del éxito de la brecha, no había pruebas de filtración de datos o movimiento lateral. En su lugar, los atacantes parecían centrarse en cartografiar la red en sentido amplio. Esto plantea interrogantes sobre los motivos de la explotación, y apunta a un enfoque estratégico para recabar información más que a un ataque directo para robar datos.

 

El parche de Adobe y la persistencia de los actores de amenazas

 

En marzo, Adobe publicó un parche para corregir el fallo de ColdFusion, reconociendo un pequeño número de ataques "in the wild". Aún así, hay motivos para preocuparse por la continua explotación de sistemas sin parches por parte de los actores de amenazas. La vulnerabilidad CVE-2023-26360 no necesita que las víctimas objetivo realicen ninguna acción para permitir la ejecución de código arbitrario. Los expertos en seguridad informan de ataques dirigidos que se producen incluso después de la aplicación del parche, lo que significa que las empresas deben permanecer vigilantes y aplicar rápidamente las actualizaciones para salvaguardar sus sistemas.

Para evitar los riesgos del retraso en la aplicación de parches, las organizaciones pueden utilizar una solución automatizada de aplicación de parches en tiempo real, KernelCare Enterprise. KernelCare aplica automáticamente todas las actualizaciones de seguridad a los sistemas Linux sin necesidad de reiniciar ni dejar de funcionar.

Más información sobre KernelCare Enterprise live patching aquí.

 

Conclusión

 

El fallo de ColdFusion supone un riesgo significativo para las organizaciones, como demuestran los incidentes reales notificados por CISA. Los actores de la amenaza demostraron una serie de acciones específicas en los incidentes notificados. Desde la explotación de esta vulnerabilidad hasta la obtención de acceso a servidores web, la identificación de oportunidades de movimiento lateral y la implantación de malware, los atacantes mostraron un sofisticado modus operandi.

 

Las fuentes de este artículo incluyen un artículo de SecurityBoulevard.

Resumen
CISA denuncia la explotación de un fallo de ColdFusion en una agencia federal
Nombre del artículo
CISA denuncia la explotación de un fallo de ColdFusion en una agencia federal
Descripción
Explore la actual amenaza a la ciberseguridad planteada por el fallo Adobe ColdFusion. Conozca los recientes incidentes notificados por CISA.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín