Операторы вымогателя Cring эксплуатируют 11-летнюю уязвимость в Adobe ColdFusion

[Artifact]

Вызывает удивление, что сервер с таким устаревшим ПО, активно используется каждый день.

Неизвестная киберпреступная группировка в считанные минуты удаленно взломала сервер с устаревшей, выпущенной еще 11 лет назад версией Adobe ColdFusion 9 и захватила над ним контроль, а спустя 79 часов развернула на сервере вымогательское ПО Cring.
Сервер, принадлежащий неназванному сервис-провайдеру, использовался для сбора табелей рабочего времени и данных бухучета для расчета заработной платы, а также для хостинга ряда виртуальных машин. Как сообщили эксперты ИБ-компании Sophos, атаки осуществлялись с интернет-адреса, принадлежащего украинскому интернет-провайдеру Green Floid.
По словам старшего исследователя Sophos Эндрю Брэндта (Andrew Brandt), устройства с устаревшим, уязвимым ПО являются лакомым кусочком для хакеров. Однако большое удивление вызывает тот факт, что атакованный вымогателями сервер с 11-летним ПО активно и ежедневно использовался. Как правило, самыми уязвимыми являются неиспользуемые устройства или забытые «машины-призраки».
Получив первоначальный доступ к серверу, злоумышленники использовали различные сложные методы сокрытия вредоносных файлов, внедрения кода в память и сокрытия атаки путем переписи файлов искаженными данными. Кроме того, хакеры деактивировали решения безопасности, воспользовавшись тем, что функции защиты от несанкционированного доступа были отключены.
В частности, злоумышленники проэксплуатировали уязвимости обхода каталога (CVE-2010-2861) в консоли администрирования Adobe ColdFusion 9.0.1 и более ранних версиях. Уязвимости позволяли удаленно читать произвольные файлы, в том числе файлы, содержащие хеши паролей администратора (password.properties).
На следующем этапе атаки хакеры эксплуатировали еще более раннюю уязвимость в ColdFusion (CVE-2009-3960) для загрузки на атакуемый сервер вредоносного файла Cascading Stylesheet (CSS), который в свою очередь загружал исполняемый файл Cobalt Strike Beacon. Этот файл играл роль канала для загрузки дополнительной полезной нагрузки, создания учетных записей с привилегиями администратора и даже отключения систем защиты конечных точек и антивирусных движков наподобие Windows Defender до начала процесса шифрования.