Allarme Adobe ColdFusion: malware diffuso attraverso una vulnerabilità

La suite Adobe ColdFusion, ampiamente utilizzata per lo sviluppo di applicazioni Web, è attualmente a forte rischio visto una pericolosa vulnerabilità.

La falla di sicurezza, presente sia sulla versione Windows che su quella macOS è una vulnerabilità di tipo RCE (Remote Code Execution), che permette ai cybercriminali di prendere il controllo delle macchine infettate.

Gli attacchi sono causati da un processo di deserializzazione WDDX all’interno di Adobe ColdFusion 2021. Mentre Adobe ha risposto rapidamente con aggiornamenti di sicurezza (APSB23-40, APSB23-41 e APSB23-47), FortiGuard Labs ha osservato continui tentativi di sfruttamento da parte dei criminali informatici.

Gli hacker in questione hanno avviato attività di indagine utilizzando strumenti come interactsh per testare l’efficacia dell’exploit. Queste attività sono state osservate coinvolgere più domini tra cui mooo-ngcom, redteamtf e h4ck4funxyz. La fase di indagine ha fornito agli aggressori informazioni dettagliate sulle potenziali vulnerabilità ed è servita come ricognizione in vista di azioni più incisive.

I cybercriminali hanno agito modificando i payload in Base64, per poi cercare di ottenere l’accesso non autorizzato ai sistemi delle vittime, consentendo il controllo remoto delle macchine. In particolare, l’analisi ha rivelato un approccio su più fronti, compreso l’impiego di diverse varianti di malware.

Adobe ColdFusion a rischio: ecco cosa sta succedendo

Gli attacchi sono stati lanciati da indirizzi IP distinti, sollevando preoccupazioni sulla portata della campagna. I payload del malware sono stati codificati in Base64, nascondendo la loro vera natura finché non vengono decodificati. I ricercatori hanno identificato quattro distinti ceppi di malware testati dai cybercriminali, ovvero:

• XMRig Miner;
• Satan DDoS/Lucifer;
• RudeMiner;
• BillGates/Setag backdoor.

XMRig Miner, principalmente associato al mining di criptovaluta Monero, è stato sfruttato per dirottare la potenza di elaborazione del sistema. Utilizzando la versione 6.20.0, gli aggressori sono riusciti a trarre vantaggio dai sistemi compromessi, con il chiaro fine di ottenere profitto economico.

Lucifer, invece, è un bot ibrido che combina funzionalità di cryptojacking e DDoS. Questa variante del malware ha messo in mostra non solo le sue capacità di mining, ma anche la sua abilità nelle operazioni di comando e controllo e in attacchi DDoS sofisticati.

RudeMiner è strettamente collegato a Lucifer e porta con sé l’eredità di attacchi DDoS di campagne precedenti. Il suo coinvolgimento ha dimostrato la sua persistenza e adattabilità, tanto che è considerato dagli esperti come un pericolo significativo.

In questo contesto è riemersa la backdoor BillGates/Setag, precedentemente associata alle vulnerabilità di Confluence Server. Le sue molteplici funzionalità comprendono il dirottamento del sistema, la comunicazione C2 e diversi metodi di attacco.

Come proteggere il proprio dispositivo?

Nonostante la disponibilità di patch di sicurezza, il flusso continuo di attacchi rende evidente come sia importante mantenere alta l’attenzione.

A tal proposito, si consiglia vivamente agli utenti di aggiornare tempestivamente i propri sistemi e di implementare meccanismi di protezione tra cui servizi antivirus, firme IPS, filtraggio del Web e soluzioni simili.