Um grupo de cibercriminosos está ativamente invadindo servidores que usam a plataforma Adobe ColdFusion e plantando backdoors para operações futuras. Os ataques ocorrem desde o final de setembro e têm como alvo servidores que não foram atualizados com patches de segurança que a Adobe lançou no dia 11 de setembro. Aparentemente o grupo analisou esses patches e desenvolveu exploits para a vulnerabilidade CVE-2018–15961.
Classificada como “unauthenticated file upload”, essa vulnerabilidade permitia que os atacantes carregassem uma versão do backdoor China Chopper em servidores não corrigidos para assumir todo o sistema.
Duas semanas após o lançamento do patch da Adobe, o grupo começou a buscar por servidores ColdFusion não corrigidos, e desde então tem enviado uma versão
JSP (Java Server Pages) do backdoor China Chopper para explorar e obter controle dos mesmos. Não está claro o que os atacantes querem fazer com esses servidores, mas provavelmente serão utilizados para hospedar malwares, enviar spear-phishing e realizar ataques do tipo watering hole.
A empresa aconselha os proprietários de servidores ColdFusion a aproveitarem o recurso de atualização automática para garantir que seus servidores recebam e instalem atualizações assim que estiverem disponíveis.
Artigo originalmente publicado no aplicativo Tempest Soundbites, disponível para clientes da Tempest em versões para Android e iOS. Para obter uma credencial, fale com seu gerente de relacionamento.