Jugadores de amenazas desconocidos piratearon un servidor con una versión de Adobe ColdFusion 9 de 11 años sin reparar en minutos para tomar el control de forma remota e implementar el ransomware Cring para cifrar archivos en la red de destino 79 horas después del ataque.

El servidor, que pertenecía a una empresa de servicios no identificada, se utilizó, según un informe publicado por Sophos y compartido con The Hacker News, para recopilar hojas de tiempo y datos de contabilidad de nómina, así como para albergar varias máquinas virtuales. Los ataques provinieron de una dirección de Internet asignada al ISP ucraniano Green Floid.

«Los dispositivos de software vulnerables y desactualizados son un poco fieles a los atacantes cibernéticos que buscan una manera fácil de llegar a su destino», dijo el investigador jefe de Sophos, Andrew Brandt. «Sorprendentemente, este servidor se ha utilizado activamente a diario. Los dispositivos más vulnerables suelen ser máquinas inactivas o falsas que se olvidan o se pasan por alto en términos de reparaciones y actualizaciones».

La compañía británica de software de seguridad dijo que el «robo rápido» fue posible gracias al uso de una instalación de Adobe ColdFusion 9 de 11 años que se ejecutaba en Windows Server 2008, los cuales llegaron al final de sus vidas.

Después de ganar el primer lugar, los atacantes utilizaron una amplia gama de métodos sofisticados para ocultar sus archivos, memorizar el código y cubrir sus huellas sobrescribiendo archivos con datos ilegibles, sin mencionar que desarmaron los productos de seguridad beneficiándose del hecho de que las funciones de protección estaban desactivadas. .

El enemigo explotó específicamente CVE-2010-2861, un conjunto de vulnerabilidades de exploración de directorios en Adobe ColdFusion 9.0.1 y versiones anteriores que podrían ser aprovechadas por atacantes remotos para leer archivos arbitrarios, como archivos que contienen un hash de contraseña de administrador. («contraseña.propiedades»).

En la siguiente fase, se cree que el jugador malo explotó otra vulnerabilidad en ColdFusion, CVE-2009-3960, para cargar un archivo malicioso de hojas de estilo en cascada (CSS) en el servidor y luego lo usó para cargar el ejecutable Cobalt Strike Beacon. Este binario luego actuó como un canal para que los atacantes remotos lanzaran cargas útiles adicionales, crearan una cuenta de usuario con privilegios de administrador e incluso deshabilitaran los sistemas de protección de puntos finales y las herramientas antimalware como Windows Defender antes de comenzar el proceso de cifrado.

«Este es un claro recordatorio de que los administradores de TI se benefician de tener un inventario preciso de todos sus activos conectados y no pueden permitir que los sistemas empresariales críticos obsoletos se enfrenten a la Internet pública», dijo Brandt. «Si las organizaciones tienen estos dispositivos en cualquier lugar de su red, pueden estar seguros de que los atacantes cibernéticos se sentirán atraídos por ellos».