パッチが適用されたColdFusionの脆弱性（CVE-2018-15961）を悪用するAPTマルウェアアクティビティが検出

Volexityの研究者は、パッチが適用されていないWebフェーシングのAdobe ColdFusionサーバーでCVE-2018-15961を悪用している複数のグループを特定しました。ユーザーはColdFusionを最新バージョンにアップグレードする必要があります。

背景

11月8日、Volexityは、APT（Advanced Persistent Threat）およびハックティビスト集団は、CVE-2018-15961にパッチを当てていないAdobe ColdFusionのWebフェーシングインスタンスを標的化していると報告しました。 Adobeは、2018年9月11日にこの脆弱性に対処するためにAPSB18-33をリリースしています。

影響の評価

Volexityの研究者は、Webサイトを改ざんしようとするハックティビスト集団とColdFusionサーバーをハイジャックしようとするAPTによるWebフェーシングのColdFusionサーバーに対する2つの独立した無関係の攻撃を特定しました。

Volexityは、ISISを支援するハックティビストAnoaGhostの「Typical Idiot Security」が、「教育機関、州政府、保健研究、人道援助機関など」の多数のサイトに改ざんされたHTMLインデックスファイルを残していると報告しています。

さらに、CVE-2018-15961を悪用するための、JavaServer Pages（JSP）バージョンのChina Chopper（悪意のあるWebシェル）を使用した別個のAPT攻撃キャンペーンが特定されました。 この脆弱性を悪用すると、ColdFusionサーバー上でリモートコードが実行される可能性があります。以下の例に示すように、China Chopperがアップロードされると、攻撃者は標的を完全にコントロールできます：

出典：FireEye

インシデントの詳細

APTグループの攻撃によるサーバーへの影響は明確ではありませんが、組織に対する攻撃の可能性が高いと考えられます。

攻撃者に関し、Volexityは次のように報告しています。「影響を受けたWebサイトには、ハックティビスト集団TYPICAL IDIOT SECURITYのHTMLインデックスファイルが含まれています。」

問題のファイルは次のように表示されます。

緊急措置が必要

これらの攻撃から保護するために、ColdFusionの最新バージョンにアップグレードすることを強くお勧めします。これは、管理者パネルの[サーバー更新]> [更新]> [設定]で実行できます。

出典：Volexity

影響を受けているシステムの特定

この脆弱性を特定するためのNessusプラグイン一覧はこちらです。

詳細情報

• Volexityブログ
• Adobeセキュリティアドバイザリー

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。