黑客利用 Adobe ColdFusion 漏洞入侵美国政府机构

美国网络安全和基础设施安全局 （CISA） 警告说，黑客正在积极利用 Adobe ColdFusion 中的一个关键漏洞 （CVE-2023-26360） 来获得对服务器的初始访问权限。

该机构指出，该漏洞可以在运行 Adobe Coldfusion 2018 Update Update 5 及更早版本**的服务器上任意执行，并在 Adobe 于 3 月中旬发布 Coldfusion 2018 Update 16 和 2021 Update 6 以修复该问题之前被用作零日漏洞。

CISA在其警告中透露了两次利用该漏洞的攻击。 第一次事件发生在 6 月 2 日，当时攻击者在一台机器上运行 Adobe ColdFusion V20210.0.2 在服务器上利用此漏洞收集用户帐户信息，并试图窃取注册表文件和安全帐户管理器 （SAM） 信息。 攻击者滥用可用的安全工具来访问域控制器 sysvol 上的特殊目录。

第二起事件发生在 6 月 26 日，攻击中断了 Adobe Coldfusion V2016 的运行0.0.3 台服务器并安装一个 Web Shell（配置JSP），它允许攻击者将 ** 插入 ColdFusion 配置文件并提取凭据，其活动包括删除攻击中使用的文件以隐藏其下落，以及在 C：IBM 目录中创建文件以执行恶意操作而不被发现。

CISA将这些攻击归类为侦察活动，但目前尚不清楚这两次入侵是否由同一攻击者实施。

为了降低风险，CISA 建议将 ColdFusion 升级到最新的可用版本，设置应用程序网络分段、防火墙或 WAF，并强制实施软件签名策略。