Adobe ColdFusion es una plataforma ampliamente utilizada para el desarrollo de aplicaciones web. A pesar de su robustez, recientemente ha sido el blanco de hackers, como se informó en diciembre de 2023. Este incidente subraya la importancia de mantener la seguridad en las aplicaciones web y servidores.
ColdFusion, desarrollado por Adobe, es un entorno de programación utilizado para crear y manejar aplicaciones web. Su facilidad de uso y potentes capacidades lo hacen popular, pero también atractivo para los hackers. Estos individuos buscan explotar cualquier debilidad en el software para acceder a datos sensibles o comprometer sistemas.
Te podrá interesar: Seguridad de Aplicaciones Web con Azure Sentinel
La Cybersecurity and Infrastructure Security Agency (CISA) de Estados Unidos emitió una alerta sobre la explotación activa de una grave vulnerabilidad en Adobe ColdFusion por actores de amenazas no identificados, quienes buscan acceder a servidores gubernamentales.
Según CISA, la vulnerabilidad en ColdFusion (CVE-2023-26360) se caracteriza por un problema de control de acceso deficiente, cuya explotación puede conducir a la ejecución de código arbitrario. CISA reveló que una agencia federal, que prefirió mantenerse anónima, fue víctima de un ataque entre junio y julio de 2023.
Esta vulnerabilidad afecta a ColdFusion 2018 (Update 15 y anteriores) y ColdFusion 2021 (Update 5 y anteriores). Adobe lanzó las actualizaciones (Update 16 y Update 6) el 14 de marzo de 2023 para resolver el problema.
Te podrá interesar leer: CISA presenta 'Alerta Secure by Design' para seguridad web
Al día siguiente de estas actualizaciones, CISA incluyó esta vulnerabilidad en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando pruebas de explotación activa. Adobe había indicado anteriormente que la falla había sido explotada de manera limitada.
Se informó que al menos dos servidores gubernamentales, ejecutando versiones desactualizadas de ColdFusion, fueron comprometidos debido a esta deficiencia. Además, se detectó que los atacantes ejecutaron varios comandos en los servidores afectados, utilizando la vulnerabilidad para instalar malware mediante comandos HTTP POST en los directorios de ColdFusion.
Los indicios apuntan a que estas actividades maliciosas podrían ser esfuerzos de reconocimiento para mapear redes más extensas, aunque no se han observado movimientos laterales ni extracción de datos.
En uno de los incidentes, se vio al atacante navegando por el sistema de archivos y cargando varios artefactos en el servidor, incluidos archivos binarios capaces de extraer cookies de navegadores web y malware diseñado para descifrar contraseñas de fuentes de datos de ColdFusion.
Otro incidente, a principios de junio de 2023, implicó la implementación de un troyano de acceso remoto, una versión alterada del shell web ByPassGodzilla. Este malware utiliza un cargador de JavaScript para infectar el dispositivo y requiere comunicación con un servidor controlado por el atacante para ejecutar acciones.
El atacante también intentó extraer archivos del Registro de Windows y descargar, sin éxito, datos de un servidor de comando y control (C2).
Durante este incidente, CISA sugiere que los atacantes probablemente accedieron al archivo ColdFusion seed.properties a través de la interfaz del shell web. Este archivo contiene el valor inicial y el método de cifrado usados para encriptar contraseñas, lo cual podría usarse para descifrarlas. Sin embargo, no se encontró evidencia de que los atacantes intentaran decodificar las contraseñas utilizando la información del archivo seed.properties.
Podría interesarte: Desentrañando el Mundo de la Ciberseguridad C2
Te podrá interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
El ataque reciente a ColdFusion destaca la importancia de la seguridad en el desarrollo y mantenimiento de aplicaciones web. Las empresas deben adoptar un enfoque proactivo para proteger sus sistemas y datos. Mantener el software actualizado, educar a los empleados, implementar una estrategia de seguridad en capas, y realizar pruebas de seguridad regularmente son pasos clave para mitigar el riesgo de futuros ataques.
Este incidente sirve como un recordatorio vital de que la seguridad cibernética debe ser una prioridad máxima en el mundo digital actual. La responsabilidad recae tanto en los desarrolladores como en los usuarios para garantizar un entorno seguro para todos.