Adobe ColdFusion最新文件上传漏洞实际利用在公网被发现（CVE-2018-15961）

Volexity的安全专家最近发现,影响Adobe ColdFusion的远程代码执行漏洞(CVE-2018-15961)已经在公网发现了实际利用。

CVE-2018-15961是一个不受限制的文件上传漏洞,成功利用可能导致远程执行任意代码。

该漏洞是在9月由Foundeo的Pete Freitag发现的。(安全公告APSB18-33)。

Volexity的安全研究人员发现了一个中国的APT攻击组织利用该漏洞上传中国菜刀的webshell到存在漏洞的服务器。

对黑客攻击服务器的分析显示，所有ColdFusion的安全都已安装,除了CVE -2018-15961。攻击者正是利用了这个漏洞，在Adobe发布安全补丁的几周后。

“根据Volexity所检测到的，怀疑中国APT攻击组织能够通过该ColdFusion漏洞直接往服务器上传webshell。”Volexity公司发布的报告称。

“主要是因为目标服务器缺少了Adobe发布的一个更新,就是两周前公布的。”

根据专家的意见,当Adobe用CKDDSER替换FCKEDTER WYSIWYG编辑器时，产生了该缺陷。

为了利用漏洞，攻击者必须发送一个特殊构造出来的HTTP POST请求来不受限制的上传.cfm文件，而且这不需要任何身份验证。

专家们注意到，新版编辑器CKEditor会阻止用户上传有潜在危险的文件，如. exe，.php文件，但它仍然允许上传.jsp文件。

APT集团利用这个漏洞上传一个ja vasc ript版本的中国菜刀webshell。

“Volexity观察到APT组织利用CVE-2018-15961上传的JSP版本中国菜刀webshell，然后直接执行命令。”分析中说到。

“Volexity从观测该APT组织的攻击了解到，Adobe的默认的文件后缀设置是不包括.jsp文件扩展名，但这处有问题的，因为ColdFusion允许.jsp文件解析执行。攻击者还发现了一个目录修改问题，通过修改表单变量中的路径一值，攻击者可以将文件上传到其他的web目录下。这意味着即使.jsp文件扩展名进入屏蔽名单，攻击者也可以尝试把另一种脚本或可执行文件上传到系统的某个地方，试图绕过解析限制(可能是在重新启动的启动阶段)。而在Adobe的最近更新中，.jsp文件扩展名是不允许添加到默认文件的后缀列表中的；另外，路径会被修改的问题也解决了。”

在Volexity确定了此次中国的APT组织的攻击后，Volexity检查几个暴露在公共网的ColdFusion服务器，很多似乎已经被攻破。

这些服务器属于政府、教育、医疗、和人道主义援助等组织，每个都出现已经被攻破或被尝试攻击的痕迹。

还不清楚攻击者利用了CVE-2018-15961攻击他们，然而，基于文件的位置受影响的服务器，Volexity相信non-APT演员可能利用这个漏洞之前，9月11日2018年，可能在6月初。

同时专家也注意到一些被攻击的归属于AnoaGhost,一个印尼黑客团队，前ISIS黑客组织。

让我们好奇的是，CVE-2018-15961缺陷的严重性最初被低估，Adobe分配的优先级评级为“2”是因为利用可能性较低，但在9月下旬优先级被改为“1”。

原文链接：https://securityaffairs.co/wordpress/77901/hacking/cve-2018-15961-coldfusion-flaw.html