Attaque de cybersécurité: des pirates informatiques exploitent la vulnérabilité ColdFusion des agences fédérales

« La vulnérabilité dans ColdFusion (CVE-2023-26360) se présente comme un problème de contrôle d’accès inapproprié et l’exploitation de cette CVE peut entraîner une exécution de code arbitraire », a déclaré la CISA, ajoutant qu’une agence fédérale non nommée a été ciblée entre juin et juillet 2023.

La faille affecte ColdFusion 2018 (Update 15 et versions antérieures) et ColdFusion 2021 (Update 5 et versions antérieures). Elle a été corrigée dans les versions Update 16 et Update 6, publiées respectivement le 14 mars 2023.

Un jour plus tard, la CISA l’a ajouté au catalogue des vulnérabilités connues et exploitées (KEV), citant des preuves d’exploitation active dans la nature. Adobe, dans un avis publié à peu près à la même date, a déclaré être au courant que la faille était « exploitée dans la nature dans le cadre d’attaques très limitées ».

L’agence a noté qu’au moins deux serveurs publics ont été compromis par cette faille, tous deux utilisant des versions obsolètes du logiciel.

« En outre, diverses commandes ont été lancées par les acteurs de la menace sur les serveurs web compromis ; la vulnérabilité exploitée a permis aux acteurs de la menace de déposer des logiciels malveillants à l’aide de commandes HTTP POST dans le chemin d’accès au répertoire associé à ColdFusion », a noté la CISA.
Certains éléments suggèrent que l’activité malveillante est un effort de reconnaissance mené pour cartographier le réseau dans son ensemble, bien qu’aucun mouvement latéral ou exfiltration de données n’ait été observé. Dans l’un des incidents, l’adversaire a été observé en train de parcourir le système de fichiers et de télécharger divers artefacts sur le serveur web, y compris des binaires capables d’exporter les cookies du navigateur web ainsi que des logiciels malveillants conçus pour décrypter les mots de passe des sources de données ColdFusion. Un deuxième événement enregistré au début du mois de juin 2023 a entraîné le déploiement d’un cheval de Troie d’accès à distance qui est une version modifiée de l’interpréteur de commandes Web ByPassGodzilla et qui « utilise un chargeur JavaScript pour infecter l’appareil et nécessite une communication avec le serveur contrôlé par l’acteur pour effectuer des actions ». L’adversaire a également tenté d’exfiltrer les fichiers du registre Windows et de télécharger sans succès des données à partir d’un serveur de commande et de contrôle (C2). « Au cours de cet incident, l’analyse suggère fortement qu’il a probablement consulté les données contenues dans ces fichiers via l’interface de l’interpréteur de commandes Web », a déclaré la CISA. »Ces fichiers contiennent des valeurs d’amorçage et la méthode de cryptage utilisée pour crypter les mots de passe, ainsi que des valeurs d’amorçage utilisées pour décrypter les mots de passe. Aucun code malveillant trouvé sur le système de la victime n’indique une tentative de décodage des mots de passe à l’aide des valeurs trouvées dans les fichiers d’amorçage.