Cring Ransomware Gang Exploits 11-Year-Old ColdFusion Bug
2021/09/21 TheHackerNews — 11年前のバージョンでパッチが適用されていない、Adobe ColdFusion 9 が稼働しているサーバーに、正体不明の脅威アクターが侵入し、数分でリモート操作を行い、ハッキングから 79時間後には、ターゲットのネットワーク上にファイル暗号化ランサムウェア Cling を展開した。
Sophos から The Hacker News に提供されたレポートによると、この、無名のサービス会社所有するサーバーは、給与計算のためのタイムシートや会計データを収集するために使用されていたほか、多数の仮想マシンをホストするためにも使用されていた。この攻撃は、ウクライナの ISP である Green Floid に割り当てられた、インターネット・アドレスから発信されていた。
Sophos の Principal Researcher である Andrew Brandt は、「脆弱で古いソフトウェアを実行しているデバイスは、標的への簡単な侵入方法を探しているサイバー攻撃者にとって、簡単にもぎ取れる果実だ。驚くべきことは、このサーバーが日常的に使用されていたということだ。最も脆弱なデバイスは、活動していないマシンやゴースト・マシンであることが多く、パッチやアップグレードが忘れられたり、見落とされたりしている」と述べている。
英国のセキュリティ・ソフトウェア会社によると、この迅速な侵入は、11年前の Adobe ColdFusion 9 が、Windows Server 2008にインストールされていたことが要因となっているようだ。
侵入の際には、改ざん防止機能がオフになっていることを利用して、セキュリティ製品を無効にすることはもちろん、ファイルの隠蔽や、メモリへのコードの注入、ファイルの文字化けによる痕跡の隠蔽など、さまざまな巧妙な手法が用いられていた。
この CVE-2010-2861 は、Adobe ColdFusion 9.0.1 以前の管理者コンソールに存在する、一連のディレクトリ・トラバーサルの脆弱性であり、管理者パスワードのハッシュ(”password.properties”)を含む任意のファイルを、リモートの攻撃者が読み取るために悪用されたと思われる。
次の段階では、ColdFusion の別の脆弱性 CVE-2009-3960 を利用して、悪意の Cascading Stylesheet (CSS) ファイルをサーバにアップロードし、そのファイルを使って Cobalt Strike Beacon の実行ファイルをロードしたと考えられる。このバイナリは、暗号化処理を開始する前に、追加のペイロード投下や、管理者権限を持つユーザーアカウントの作成などを行う。さらには、Windows Defender などのエンドポイント・プロテクション・システムや、マルウェア対策エンジンを無効するための、導線として機能していた。
関係者は、「今回の事例は、IT 管理者が、接続されている全ての資産を正確に把握することが重要であり、古くて重要な業務システムを、パブリックなインターネットに接続しておくと、大変な被害が生じると、痛感させられるものである。このようなデバイスが、ネットワーク上のどこかにあれば、サイバー攻撃者は必ず、これらのデバイスに引き寄せられることになりる」と述べている。
こういうことって、あるんですねぇ。「最も脆弱なデバイスは、活動していないマシンやゴースト・マシンであることが多く、パッチやアップグレードが忘れられたり、見落とされたりしている」と言われてしまうと、いろいろと心配になってきます。この「可視化の重要性:インフラ・セキュリティにおいて最初に必要なものとは?」で説明されているとおり、まずは、可視化が重要ですね。
IoT OT Security News 