Relatório da CISA sobre a exploração do Adobe ColdFusion.
A CISA, uma autoridade em segurança cibernética nos EUA, divulgou um relatório alarmante sobre uma invasão em servidores de uma agência governamental. O epicentro desse ataque foi o Adobe ColdFusion, um software popular para o desenvolvimento de aplicações web. Os invasores miraram especificamente nas versões desatualizadas do software (2018 Update 15 e anteriores, e 2021 Update 5 e anteriores), que não recebiam mais atualizações ou suporte, tornando-os alvos vulneráveis.
Modus Operandi dos Hackers:
Em 26 de Junho, os hackers obtiveram acesso inicial ao explorar uma vulnerabilidade (CVE-2023-26360) em um servidor rodando a versão 2016.0.0.3 do Adobe ColdFusion. Eles usaram o IP malicioso 158.101.73[.]241 para essa invasão. Este ataque inicial abriu as portas para uma série de atividades maliciosas no servidor.
Em 2 de Julho, um segundo servidor foi comprometido, desta vez utilizando a versão 2021.0.0.2 do ColdFusion. Os invasores, operando através do IP 125.227.50[.]97, não apenas ganharam acesso, mas também conduziram uma extensa operação de reconhecimento. Eles procuraram por contas administrativas e detalhes de configuração da rede, indicando uma tentativa de mapear a infraestrutura da rede para possíveis movimentos laterais ou alvos adicionais.
Atividades dos Hackers Após a Invasão:
Utilizando a falha CVE-2023-26360, os invasores executaram comandos arbitrários e implantaram malware nos sistemas comprometidos. Esta ação representou uma séria ameaça, pois permitiu o controle remoto dos sistemas.
Os hackers se empenharam em mapear a rede interna e coletar informações detalhadas sobre os sistemas comprometidos. Apesar de suas extensivas atividades de reconhecimento, não foi confirmado se conseguiram exfiltrar dados ou se mover lateralmente pela rede.
Os invasores demonstraram sofisticação ao utilizar web shells para manter acesso e ocultar suas trilhas, além de tentar extrair credenciais de arquivos de configuração.
Resposta e Mitigação:
O Microsoft Defender for Endpoint desempenhou um papel crucial ao detectar a atividade suspeita e alertar a agência, permitindo uma ação rápida.
A resposta da agência CISA foi rápida, removendo os ativos comprometidos da rede. Além disso, a CISA enfatizou a importância de práticas como atualização de software, segmentação de redes, controle rigoroso de aplicações e gerenciamento estrito de contas e permissões, como medidas preventivas e de mitigação.
Conclusão:
Este incidente sublinha a vulnerabilidade inerente a softwares desatualizados e sem suporte. A detecção precoce e a reação imediata são fundamentais para limitar o impacto de invasões cibernéticas. Além disso, a defesa efetiva contra ameaças digitais exige uma combinação de tecnologia atualizada, monitoramento contínuo e práticas robustas de segurança.