CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilitățile RCE de Pre-Autentificare exploatate în Adobe ColdFusion

6 septembrie 2023

https://cybersecuritynews.com

Adobe ColdFusion este o platformă comercială de dezvoltare de aplicații web bazată pe Java, care utilizează CFML pentru programarea pe server.

Specialiștii în securitate cibernetică de la Fortinet au observat recent că utilizatorii de Windows și macOS se confruntă cu vulnerabilități în cadrul Adobe ColdFusion vizate de atacatori în exploatări RCE pre-autentificare.

Atacatorii vizează URI /CFIDE/adminapi/accessmanager.cfc, introducând payload-uri prin intermediul unei cereri de tip POST în cadrul parametrului argumentCollection.

Prin intermediul tool-ului interactsh, specialiștii au identificat activități de testare. Acest tool generează nume de domenii pentru testarea exploatărilor și monitorizarea vulnerabilităților.

Persoanele rău intenționate îl pot utiliza cu scopul de a valida vulnerabilitățile prin monitorizarea domeniilor precum următoarele:

  • mooo-ng[.]com;
  • redteam[.]tf;
  • h4ck4fun[.]xyz.

Atacatorii folosesc reverse shell-uri pentru a exploata vulnerabilitățile din cadrul sistemului, cum ar fi în cazul Adobe ColdFusion, prin utilizarea unor payload-uri base64-encoded.

Au fost identificate următoarele adrese IP ca fiind sursa acestor atacuri:

  • 81.68.214.122;
  • 81.68.197.3;
  • 82.156.147.183.

Programul malware a fost distribuit de pe un server de fișiere HTTP accesibil:

  • 103.255.177.55:6895

Următoarele variante ale malware-ului au fost identificate de către un specialist în securitate:

  • XMRig Miner: utilizează ciclurile CPU pentru minarea Monero atât în scopuri legitime, cât și rău intenționate.
  • DDoS/Lucifer: este un bot hibrid cu capacități de cryptojacking, DDoS, C2, exploatarea de vunerabilități și capacități de DDoS, care a fost raportat în 2020.
  • RudeMiner: este, de asemenea, o versiune hibridă a unui bot malware care țintește portofelul criptografic și efectuează atacuri de tip DDoS.
  • BillGates/Setag: Această versiune de backdoor este cunoscută în principal pentru hijacking, comunicare cu serverul C2 și atacuri. În acest scenariu malware-ul a putut fi detectat prin procedura de verificare a fișierului bill.lock.

Se recomandă tuturor utilizatorilor să aplice cele mai recente pachete de actualizări.

Sursă: https://cybersecuritynews.com/pre-authentication-rce-adobe-coldfusion/

Ai mai putea citi

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

27 februarie 2026

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |