ClickCease La CISA signale l'exploitation d'une faille ColdFusion dans une agence fédérale

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

CISA signale l'exploitation de la faille Adobe ColdFusion dans une agence fédérale

Rohan Timalsina

Le 19 décembre 2023 - L'équipe d'experts de TuxCare

Dans ce domaine dynamique de la cybersécurité, une menace persistante continue de peser sur les entreprises qui utilisent l'application ColdFusion d'Adobe. Malgré un correctif publié en mars, une faille de ColdFusion est activement exploitée dans les systèmes non corrigés.

Cet article explore les détails de la vulnérabilité de ColdFusion, en examinant les incidents récents signalés par l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) et en soulignant l'importance d'appliquer les correctifs de sécurité en temps voulu.

 

Exploitation de la faille ColdFusion

 

Les deux incidents signalés par la CISA dans une agence fédérale non divulguée en juin ont mis en lumière la gravité de l'exploitation de la faille ColdFusion. Dans les deux cas, les auteurs de la menace ont exploité la vulnérabilité CVE-2023-26360 de ColdFusion pour accéder à des serveurs web publics. Les attaquants, qui pourraient appartenir à un ou plusieurs groupes distincts, ont implanté des logiciels malveillants, notamment un cheval de Troie d'accès à distance (RAT), et ont navigué dans les systèmes de fichiers à l'aide d'une interface web shell.

La CISA a mis en évidence un aspect remarquable des incidents : les efforts de reconnaissance apparents des acteurs de la menace. Malgré la réussite de l'intrusion, il n'y a aucune preuve d'exfiltration de données ou de mouvement latéral. Au contraire, les attaquants ont semblé se concentrer sur la cartographie du réseau dans son ensemble. Cela soulève des questions sur les motivations de l'exploitation, ce qui laisse supposer une approche stratégique visant à recueillir des renseignements plutôt qu'un assaut direct pour voler des données.

 

Le correctif d'Adobe et la persistance des acteurs de la menace

 

En mars, Adobe a publié un correctif pour remédier à la faille de ColdFusion, reconnaissant un petit nombre d'attaques "dans la nature". Il y a néanmoins lieu de s'inquiéter de l'exploitation continue des systèmes non corrigés par les acteurs de la menace. La vulnérabilité CVE-2023-26360 ne nécessite aucune action de la part des victimes ciblées pour permettre l'exécution d'un code arbitraire. Les experts en sécurité signalent que des attaques ciblées ont eu lieu même après la mise en œuvre du correctif, ce qui signifie que les entreprises doivent rester vigilantes et appliquer rapidement les mises à jour pour protéger leurs systèmes.

Pour éviter les risques d'un retard dans l'application des correctifs, les entreprises peuvent utiliser une solution automatisée de correctifs en direct, KernelCare Enterprise. KernelCare applique automatiquement toutes les mises à jour de sécurité aux systèmes Linux sans nécessiter de redémarrage ou de temps d'arrêt.

Pour en savoir plus sur le live patching de KernelCare Enterprise , cliquez ici.

 

Conclusion

 

La faille ColdFusion représente un risque important pour les organisations, comme le montrent les incidents réels signalés par la CISA. Les acteurs de la menace ont fait preuve d'une série d'actions spécifiques dans les incidents signalés. De l'exploitation de cette vulnérabilité à l'accès aux serveurs web, en passant par l'identification d'opportunités de mouvement latéral et l'implantation de logiciels malveillants, les attaquants ont fait preuve d'un modus operandi sophistiqué.

 

Les sources de cet article comprennent un article de SecurityBoulevard.

Résumé
La CISA signale l'exploitation d'une faille ColdFusion dans une agence fédérale
Nom de l'article
La CISA signale l'exploitation d'une faille ColdFusion dans une agence fédérale
Description
Découvrez la menace permanente que représente la faille ColdFusion d'Adobe pour la cybersécurité. En savoir plus sur les incidents récents signalés par la CISA.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information