La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una advertencia sobre la explotación activa de una vulnerabilidad crítica en Adobe ColdFusion por parte de actores de amenazas no identificados, con el objetivo de obtener acceso inicial a servidores gubernamentales.
La vulnerabilidad en cuestión, identificada como CVE-2023-26360, se presenta como un problema de control de acceso inadecuado, y su explotación puede dar lugar a la ejecución de código arbitrario. Según CISA, una agencia federal no especificada fue objeto de un ataque entre junio y julio de 2023.
Esta deficiencia afecta a las versiones anteriores de ColdFusion 2018 (hasta la Actualización 15) y ColdFusion 2021 (hasta la Actualización 5). Se han lanzado parches en las Actualizaciones 16 y 6, publicadas el 14 de marzo de 2023, respectivamente.
CISA ha incluido esta vulnerabilidad en su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de su explotación activa en la naturaleza. En un aviso, Adobe también reconoció que la falla estaba siendo “explotada en la naturaleza en ataques muy limitados”.
La agencia informó que al menos dos servidores gubernamentales fueron comprometidos debido a esta vulnerabilidad, ambos ejecutando versiones desactualizadas del software. “Además, los actores de amenazas iniciaron varios comandos en los servidores web comprometidos; la vulnerabilidad explotada permitió a los actores de amenazas colocar malware mediante comandos HTTP POST en la ruta del directorio asociado con ColdFusion”, señaló CISA. Es esencial que las organizaciones afectadas tomen medidas inmediatas para aplicar los parches y mitigar posibles riesgos de seguridad.
Se ha detectado evidencia que sugiere que la actividad maliciosa podría estar vinculada a un esfuerzo de reconocimiento, dirigido a mapear la red en un sentido más amplio. No obstante, hasta el momento, no se han observado movimientos laterales ni filtraciones de datos.
En uno de los incidentes registrados, se observó al adversario explorando el sistema de archivos y cargando diversos artefactos en el servidor web. Entre estos artefactos se incluyen archivos binarios capaces de extraer cookies del navegador web, así como malware diseñado específicamente para descifrar contraseñas desde las fuentes de datos de ColdFusion.
En otro evento registrado a principios de junio de 2023, se implementó un troyano de acceso remoto, que resultó ser una versión modificada del shell web ByPassGodzilla. Este troyano utiliza un cargador de JavaScript para infectar el dispositivo y requiere comunicación con un servidor controlado por el actor para ejecutar acciones específicas.
El adversario también intentó extraer archivos del Registro de Windows durante este incidente, aunque sin éxito al intentar descargar datos desde un servidor de comando y control (C2).
CISA señaló que, durante este incidente, el análisis sugiere fuertemente que los actores de amenazas pudieron haber visualizado los datos contenidos en el archivo ColdFusion seed.properties a través de la interfaz web shell. El archivo seed.properties contiene el valor inicial y el método de cifrado utilizado para cifrar contraseñas, siendo estos valores útiles para descifrarlas. A pesar de esto, no se encontró evidencia de que los actores intentaran descifrar contraseñas utilizando los valores encontrados en dicho archivo seed.properties.