Adobe-biztonsági rést használt az adattolvaj malware
Az Adobe ColdFusion sebezhetőségét kihasználva fertőztek meg támadók Microsoft IIS szervereket adattolvaj szoftverrel. Az Adobe már korábban figyelmeztetett a biztonsági résre amelyhez patch-et is kiadott, ám azt több szervezet még nem telepítette.
Adattolvaj malware-t juttattak támadók a Microsoft Internet Information Services (IIS) szoftverét használó szerverekre. A behatolást az Adobe ColdFusion biztonsági résén keresztül hajtották végre. A kártevőt a Trustwave biztonságtechnikai vállalat kutatói azonosították, nemrég közzétett jelentésük szerint az több IIS webszervert is megfertőzött. Az IIS modulként működő malware-t arra tervezték, hogy begyűjtse a felhasználók által közzétett információkat az adott szerveren lévő weboldalakról.
A kártékony modulok renegát DLL fájlok, amelyeket egy a Trustwave által ISN névre keresztelt rosszindulatú program telepít. Az ISN a kutatók szerint az IIS6 és IIS7+ 32 és 64 bites változataira is veszélyt jelent. A szoftver miután működésbe lép először az IIS verzióját ellenőrzi, majd installálja az adattolvaj DLL modult, ami ezután adott URL-ek felé irányuló POST lekérésekre vadászik, és az így szerzett információt egy log fájlba menti. A DLL-ek ezen felül lehetővé teszik a támadók számára, hogy különböző parancsokat küldjenek URL paramétereken keresztül, hogy letöltsék a tárolt információkat. Így például egy fertőzött IIS szerveren lévő online kereskedőoldalt látogatva veszélybe kerülhetnek a személyes adataink, illetve bankkártya információink is.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A módszer ellen még az SSL (Secure Socket Layer) kapcsolat sem védi meg a felhasználókat. Az ISN telepítéséhez a támadók az Adobe ColdFusion webes alkalmazásplatform sebezhetőségét használják ki, annak távoli azonosítás funkcióját megkerülve. A biztonsági rést korábban már az Adobe is észrevette, és januárban ki is adott egy patch-et az orvoslására - azt azonban több szervezet még nem telepítette, így a támadók képesek voltak azon keresztül hátsó bejáratként működő alkalmazást telepíteni a szerverekre.
A Trustwave rámutat, a hasonló szolgáltatásokat használó cégeknek és szervezeteknek ma már a lehető leghamarabb telepíteniük kell a hasonló javításokat, ha biztonságban akarják tudni saját és felhasználói adataikat. A hasonló kártékony programokat telepítő támadók sokkal gyorsabb tempót diktálnak mint az elmúlt években, a vállalatoknak pedig tartani kell a lépést. Az eset azt is jól mutatja, hogy a ColdFusion vonzó célpontot jelent a behatolók számára. Az Adobe-nak idén nem először kellett olyan sebezhetőségekre felhívnia ügyfelei figyelmét, amelyre akkor még nem volt patch, és a támadók már aktívan kihasználták.