Adobe ColdFusion の脆弱性 CVE-2023-26360:米政府機関への侵入で悪用

Hackers breach US govt agencies using Adobe ColdFusion exploit

2023/12/05 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Adobe ColdFusion の深刻な脆弱性を CVE-2023-26360 を積極的に悪用し、政府機関のサーバにイニシャル・アクセスを試みるハッカーについて警告している。このセキュリティ問題は、Adobe ColdFusion の 2018 Update 15/2021 Update 5 以下を実行しているサーバ上で、任意のコード実行を許すものである。2023年3月中旬に Adobe が、ColdFusion 2018 Update 16/2021 Update 6をリリースするまで、この脆弱性はゼロデイとして悪用されていた。

その当時の CISA は、この欠陥を悪用する脅威について通知を行い、連邦政府組織および州政府のサービスに対し、利用可能なセキュリティ更新プログラムを適用するよう促していた。

そして今日の発表において CISA は、依然として脆弱性 CVE-2023-26360 が攻撃に利用されていると警告し、また、連邦政府機関のシステムで6月に発生した、2件のインシデントを紹介している。

CISA は、「どちらのインシデントにおいても、連邦政府機関のプリプロダクション環境にあるパブリックな Web サーバ上で Adobe ColdFusion 脆弱性の悪用の可能性があると、Microsoft Defender for Endpoint (MDE) が警告していた。この2つのサーバは、さまざまな CVE に対して脆弱性のある、古いバージョンのソフトウェアを実行していた」と指摘している。

CISA によると、この脆弱性の悪用に成功した攻撃者は、ColdFusion に関連するディレクトリ・パスに HTTP POST コマンドを使ってマルウェアを投下したという。

最初のインシデントは 6月26日に記録され、Adobe ColdFusion v2016.0.0.3 が稼働しているサーバに侵入するために、この脆弱性が悪用されていた。この攻撃者は、ネットワークのチェックを行いながらプロセスを列挙し、ColdFusion のコンフィグレーション・ファイルにコードを挿入し、認証情報を抽出するための Web シェル (config.jsp) をインストールした。

攻撃者の活動に含まれるものとしては、攻撃で使用したファイルの削除や、”C:\IBM” ディレクトリでのファイルの作成にる、悪意のある操作の検知回避などもある。

Tools the attacker used in the first attack
Tools the attacker used in the first attack (CISA)

2つ目のインシデントは 6月2日に発生したものであり、Adobe ColdFusion v2021.0.0.2 を実行しているサーバ上で、脆弱性 CVE-2023-26360 が悪用された。

このケースでは、攻撃者は RAT (remote access trojan:d.jsp) としてデコードされるテキスト・ファイルの投下前に、攻撃者によるユーザー・アカウント情報の収集が行われていた。

続いて、Registry ファイルと SAM (security account manager) 情報の流出が試みられた。この攻撃者は、利用可能なセキュリティ・ツールを悪用して、ドメイン内の全ドメイン・コントローラに存在する、特別なディレクトリである SYSVOL にアクセスした。

いずれのケースにおいても、データ流出や横方向への移動が行われる前に、攻撃に対する検出とブロックが行われ、侵害された資産は 24時間以内に重要なネットワークから削除された。

CISA の分析では、これらの攻撃は偵察活動として分類されている。しかし、この2件のインシデントの背後に、同一の脅威アクターたちが存在していたかどうかは不明である。

このリスクを軽減するために CISA が推奨するは、ColdFusion を最新バージョンにアップグレードし、ネットワーク・セグメンテーションを適用し、ファイアウォールや WAF を設定し、署名付きソフトウェア実行ポリシーを実施するである。

この、Adobe ColdFusion の脆弱性 CVE-2023-26360 を、CISA KEV ページで検索すると、Date Added: 2023-03-15 と、Due Date: 2023-04-05 という、2つの日付が確認できます。ということは、この指示に従わなかった、もしくは、従えなかった、連邦政府組織があり、そこで攻撃が発生したことになります。それを、こうして公表する姿勢に拍手です。とにかく、透明性ですよね。