12月5日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)發(fā)出警告稱，黑客正積極利用 Adobe ColdFusion 中的一個關(guān)鍵漏洞（CVE-2023-26360）來獲取對政府服務(wù)器的初始訪問權(quán)限。

該機(jī)構(gòu)指出，此漏洞能在運行 Adobe ColdFusion 2018 Update 15 、2021 Update 5 及更早版本的服務(wù)器上執(zhí)行任意代碼，在 Adobe于3 月中旬發(fā)布 ColdFusion 2018 Update 16 和 2021 Update 6 修復(fù)該問題之前曾被用作零日漏洞。

CISA在警告中揭露了兩起利用該漏洞的攻擊事件。第一起事件發(fā)生在6月2日，攻擊者在一臺運行 Adobe ColdFusion v2021.0.0.2 的服務(wù)器上利用此漏洞收集了用戶賬戶信息，并試圖竊取注冊表文件和安全帳戶管理器（SAM）信息。攻擊者濫用可用的安全工具來訪問域控制器上的特殊目錄 SYSVOL。

第二起事件發(fā)生在 6 月 26 日，攻擊破壞了運行 Adobe ColdFusion v2016.0.0.3 的服務(wù)器，并安裝了一個 Web shell ( config.jsp )，允許攻擊者將代碼插入 ColdFusion 配置文件并提取憑證，其活動包括刪除攻擊中使用的文件以隱藏行蹤，以及在 C:\IBM 目錄中創(chuàng)建文件，以便在未被發(fā)現(xiàn)的情況下進(jìn)行惡意操作。

攻擊者在第二次攻擊中使用的工具

CISA 將這些攻擊歸類為偵察活動，但尚不清楚這兩次入侵是否是同一攻擊者所為。

為了降低風(fēng)險，CISA 建議將 ColdFusion 升級到最新可用版本，設(shè)置應(yīng)用網(wǎng)絡(luò)分段、防火墻或 WAF，并強(qiáng)制執(zhí)行軟件簽名策略。