勒索软件Cring利用11年前的ColdFusion漏洞渗透未打补丁系统

身份不明的黑客在几分钟内入侵了一台运行未打补丁的、已有 11 年历史的 Adob​​e ColdFusion 9 软件版本的服务器，以便在黑客入侵 79 小时后远程接管控制并在目标网络上部署文件加密的 Cring 勒索软件。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，该服务器属于一家未具名的服务公司，用于收集工资单的时间表和会计数据以及托管许多虚拟机。攻击来自分配给乌克兰 ISP Green Floid 的公网IP地址。

运行易受攻击的过时软件的设备对于寻求轻松进入目标的网络攻击者来说是唾手可得的成果。令人惊讶的是，这台服务器在日常使用中处于活跃状态。通常最易受攻击的设备是不活动的或幽灵机器，在修补和升级时要么被遗忘，要么被忽视。“快速入侵”是通过利用在 Windows Server 2008 上运行 11 年之久的 Adob​​e ColdFusion 9 安装而实现的，这两个版本都已报废。

最初站稳脚跟后，攻击者使用了各种复杂的方法来隐藏他们的文件，将代码注入内存，并通过用乱码覆盖文件来掩盖他们的踪迹，更不用说利用篡改这一事实来关闭安全产品的保护功能。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，攻击者利用了CVE-2010-2861，这是 Adob​​e ColdFusion 9.0.1 及更早版本管理员控制台中的一组目录遍历漏洞，远程攻击者可能会利用这些漏洞读取任意文件，例如包含管理员密码哈希的文件。

在下一阶段，攻击者被认为利用 ColdFusion 中的另一个漏洞 CVE-2009-3960 将恶意的CSS文件上传到服务器，从而使用它加载 Cobalt Strike Beacon 可执行文件。然后，在开始加密过程之前，该二进制文件充当远程攻击者投放额外攻击载荷、创建具有管理员权限的用户帐户，甚至禁用终端保护系统和反杀毒引擎（如 Windows Defender）的管道。