ColdFusion最新任意文件上传漏洞的利用活动分析（CVE-2018-15961

概述
Volexity最近观察到野外存在对Adobe ColdFusion中新修复漏洞的利用，该漏洞目前在网上不存在任何公开细节或概念验证（PoC）代码。在Volexity检测到的攻击中，一个自称是来自中国的APT组织直接上传了“China Chopper WebShell”以破坏受漏洞影响的ColdFusion服务器，该服务器仅仅缺少两周前发布的Adobe安全更新。在2018年9月11日，Adobe发布了安全公告APSB18-33，该公告中修复了一些漏洞，其中包括未经身份验证的文件上传漏洞。根据公告内容，该漏洞已经被编号为CVE-2018-15961，影响ColdFusion 11（Update 14及此前版本）、ColdFusion 2016（Update 6及此前版本）和ColdFusion 2018（7月12日版本）。实际上，上述囊括了过去四年内发布的所有版本。
Adobe的ColdFusion Web应用程序开发平台历来是APT组织的主要攻击目标，他们希望能破坏运行该应用程序的网络。ColdFusion的最新版本包括WYSIWYG富文本编辑器CKEditor。在早期版本中，Adobe集成了旧版的WYSIWYG编辑器FCKeditor。根据推测，Adobe在使用CKEditor替换FCKeditor时，无意中引入了一个未经身份验证的文件上传漏洞。该漏洞与2009年在ColdFusion中发现的FCKeditor未经身份验证文件上传漏洞具有惊人的相似性，较早的这个漏洞已经在APSB09-09中实现修复。
根据APSB18-33公告中的信息，Foundeo是一家专门从事ColdFusion开发和咨询的公司。目前，没有任何公开发布的内容描述这一漏洞详情，同样也没有提供与CKEditor相关的任何信息。Volexity与Adobe合作验证了CVE-2018-15961漏洞被利用的问题。在联系Adobe时，他们尚未意识到该漏洞正在野外被利用。Volexity提供了有关攻击的其他详细信息，随后Adobe迅速将该漏洞的严重程度升级到“优先级1”。
APT组织对CVE-2018-15961的漏洞利用
在Adobe发布更新的大约两周后，Volexity就发现了对该漏洞的利用。攻击者通过对upload.cfm文件发送简单HTTP POST请求，就能够轻松实现利用。该文件不受限制，并且不需要任何身份验证。以下是经过编辑的POST请求，其中部分地方展现了漏洞的利用方式。
    POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/upload.cfm?action=upload HTTP/1.1
    Accept: text/html, application/xhtml+xml, */*
    Accept-Language: en-US
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
    Content-Type: multipart/form-data; boundary=—————————5b12d3a3190134
    Accept-Encoding: gzip, deflate
    Content-Length: 9308
    Host:
    Pragma: no-cache
    Connection: close
    —————————–5b12d3a3190134
Volexity观察到APT组织利用CVE-2018-15961上传了China Chopper的JSP版本，并且在被阻断之前，成功在存在漏洞的Web服务器上执行命令。值得注意的是，ColdFusion会尝试在名为setting.cfm的配置文件中限制允许通过CKEditor上传的文件类型。该文件中相关设置（默认设置）如下：
该设置将阻止上传任何文件扩展名与上述扩展名相匹配的文件。我们观察到，APT组织发现在Adobe的默认配置中并没有包含.jsp文件扩展名，而这是存在问题的，因为ColdFusion允许.jsp文件被主动执行。攻击者还通过“path”表单变量，确定了目录修改漏洞，该变量允许攻击者将目录更改为上传文件的位置。这一位置，即使.jsp文件扩展名已经添加到阻止列表中，攻击者也可能在系统的某个位置放置了另一个脚本或可执行文件，并尝试以此攻陷主机（可能会在重新启动后运行）。在Adobe本次更新中，已经将.jsp文件扩展名添加到默认禁止的文件列表中，路径修改漏洞也已经修复。
漏洞利用的深入分析
在确认了APT组织对CVE-2018-15961进行漏洞利用之后，我们检查了几个可以访问到互联网的ColdFusion网络服务器。在此过程中，我们发现了很多疑似被攻陷的系统，这些系统来自各类组织，如教育机构、州政府、卫生研究机构、人道主义救援组织等。其中，每个站点都出现了尝试上传WebShell的迹象，同时有部分HTML文件已经遭到修改。我们无法直接证明，上述情况都是由于CVE-2018-15961的漏洞利用。但是，根据受影响服务器上文件的位置，我们判断一些非APT组织成员可能在2018年9月11日前发现了该漏洞。受感染网站上所有文件，都位于以下两个目录之一：
/cf_scripts/
/cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/uploadedFiles/
在大多数被攻陷主机上，文件的最后一次修改时间都发生在2018年6月2日或2018年6月6日。我们发现这些主机会连接到几个站点，它们似乎是用于上传名称为“up.php.fla”的PHP文件，最终都失败了。看来，攻击者当时并不清楚.jsp文件扩展名是被允许的。
    OK-Click here!”;
    }
    }echo ‘Upload files…’;
    ?>
Several of the affected websites contained an HTML index file that purported to be from the hacktivist group “TYPICAL IDIOT SECURITY.” The defaced web pages all contained the following message:
    Hacked by AnoaGhost – Typical Idiot Security
    #together laugh in ur security since 2k17#
We are:~•Khunerable – SPEEDY-03 – PYS404 – Mirav – Grac3 – AnoaGhost – Jje Incovers – Panataran – magelangGetar – Kersen.id•

[1] [2]  下一页

概述
Volexity最近观察到野外存在对Adobe ColdFusion中新修复漏洞的利用，该漏洞目前在网上不存在任何公开细节或概念验证（PoC）代码。在Volexity检测到的攻击中，一个自称是来自中国的APT组织直接上传了“China Chopper WebShell”以破坏受漏洞影响的ColdFusion服务器，该服务器仅仅缺少两周前发布的Adobe安全更新。在2018年9月11日，Adobe发布了安全公告APSB18-33，该公告中修复了一些漏洞，其中包括未经身份验证的文件上传漏洞。根据公告内容，该漏洞已经被编号为CVE-2018-15961，影响ColdFusion 11（Update 14及此前版本）、ColdFusion 2016（Update 6及此前版本）和ColdFusion 2018（7月12日版本）。实际上，上述囊括了过去四年内发布的所有版本。
Adobe的ColdFusion Web应用程序开发平台历来是APT组织的主要攻击目标，他们希望能破坏运行该应用程序的网络。ColdFusion的最新版本包括WYSIWYG富文本编辑器CKEditor。在早期版本中，Adobe集成了旧版的WYSIWYG编辑器FCKeditor。根据推测，Adobe在使用CKEditor替换FCKeditor时，无意中引入了一个未经身份验证的文件上传漏洞。该漏洞与2009年在ColdFusion中发现的FCKeditor未经身份验证文件上传漏洞具有惊人的相似性，较早的这个漏洞已经在APSB09-09中实现修复。

根据APSB18-33公告中的信息，Foundeo是一家专门从事ColdFusion开发和咨询的公司。目前，没有任何公开发布的内容描述这一漏洞详情，同样也没有提供与CKEditor相关的任何信息。Volexity与Adobe合作验证了CVE-2018-15961漏洞被利用的问题。在联系Adobe时，他们尚未意识到该漏洞正在野外被利用。Volexity提供了有关攻击的其他详细信息，随后Adobe迅速将该漏洞的严重程度升级到“优先级1”。
APT组织对CVE-2018-15961的漏洞利用
在Adobe发布更新的大约两周后，Volexity就发现了对该漏洞的利用。攻击者通过对upload.cfm文件发送简单HTTP POST请求，就能够轻松实现利用。该文件不受限制，并且不需要任何身份验证。以下是经过编辑的POST请求，其中部分地方展现了漏洞的利用方式。
    POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/upload.cfm?action=upload HTTP/1.1
    Accept: text/html, application/xhtml+xml, */*
    Accept-Language: en-US
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
    Content-Type: multipart/form-data; boundary=—————————5b12d3a3190134
    Accept-Encoding: gzip, deflate
    Content-Length: 9308
    Host:
    Pragma: no-cache
    Connection: close
    —————————–5b12d3a3190134
Volexity观察到APT组织利用CVE-2018-15961上传了China Chopper的JSP版本，并且在被阻断之前，成功在存在漏洞的Web服务器上执行命令。值得注意的是，ColdFusion会尝试在名为setting.cfm的配置文件中限制允许通过CKEditor上传的文件类型。该文件中相关设置（默认设置）如下：
该设置将阻止上传任何文件扩展名与上述扩展名相匹配的文件。我们观察到，APT组织发现在Adobe的默认配置中并没有包含.jsp文件扩展名，而这是存在问题的，因为ColdFusion允许.jsp文件被主动执行。攻击者还通过“path”表单变量，确定了目录修改漏洞，该变量允许攻击者将目录更改为上传文件的位置。这一位置，即使.jsp文件扩展名已经添加到阻止列表中，攻击者也可能在系统的某个位置放置了另一个脚本或可执行文件，并尝试以此攻陷主机（可能会在重新启动后运行）。在Adobe本次更新中，已经将.jsp文件扩展名添加到默认禁止的文件列表中，路径修改漏洞也已经修复。 无奈人生安全网
漏洞利用的深入分析
在确认了APT组织对CVE-2018-15961进行漏洞利用之后，我们检查了几个可以访问到互联网的ColdFusion网络服务器。在此过程中，我们发现了很多疑似被攻陷的系统，这些系统来自各类组织，如教育机构、州政府、卫生研究机构、人道主义救援组织等。其中，每个站点都出现了尝试上传WebShell的迹象，同时有部分HTML文件已经遭到修改。我们无法直接证明，上述情况都是由于CVE-2018-15961的漏洞利用。但是，根据受影响服务器上文件的位置，我们判断一些非APT组织成员可能在2018年9月11日前发现了该漏洞。受感染网站上所有文件，都位于以下两个目录之一：
/cf_scripts/
/cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/uploadedFiles/
在大多数被攻陷主机上，文件的最后一次修改时间都发生在2018年6月2日或2018年6月6日。我们发现这些主机会连接到几个站点，它们似乎是用于上传名称为“up.php.fla”的PHP文件，最终都失败了。看来，攻击者当时并不清楚.jsp文件扩展名是被允许的。
    OK-Click here!”;
    }
    }echo ‘Upload files…’;
    ?> 内容来自无奈安全网
Several of the affected websites contained an HTML index file that purported to be from the hacktivist group “TYPICAL IDIOT SECURITY.” The defaced web pages all contained the following message:
    Hacked by AnoaGhost – Typical Idiot Security
    #together laugh in ur security since 2k17#
We are:~•Khunerable – SPEEDY-03 – PYS404 – Mirav – Grac3 – AnoaGhost – Jje Incovers – Panataran – magelangGetar – Kersen.id•
无奈人生安全网

[1] [2]  下一页 无奈人生安全网

。 (责任编辑：admin)