• 發布單位:TWCERT/CC
• 更新日期:2023-12-27
• 點閱次數:123

美國資安主管機關網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）日前發布資安警訊，指出有駭侵者積極利用 Adobe ColdFusion 中的一個嚴重漏洞 CVE-2023-26360，針對多個美國政府包商發動攻擊。

CISA 在通報中指出，攻擊者可透過該漏洞，攻擊執行 Adobe ColdFusion 2018 Update 15 與先前版本，以及 2021 Update 5 與先前版本的伺服器，進而執行任意程式碼。Adobe 在 2023 年 3 月中推出 ColdFusion 2018 Update 16 與 2021 Update 6，解決了這個漏洞，不過駭侵者已先一步透過該 0-day 漏洞發動攻擊。

當時 CISA 已針對該漏洞發表資安通告，要求各單位立即套用更新，以解決該漏洞；但近期 CISA 再次發出通告，指出 6 月時仍有攻擊者利用該漏洞攻擊 2 個聯邦政府單位包商的系統。

CISA 指出，在這兩起攻擊事件中，Microsoft Defender for Endpoint 都發出了警訊，指出在包商的測試環境中，發現可能有駭侵者攻擊其公開在外網上的 Adobe ColdFusion 伺服器，並且利用 HTTP POST 指令在 ColdFusion 相關目錄中植入惡意程式碼。

CISA 表示，雖然在兩起攻擊事件中，駭侵者在試圖竊取資料前就被發現，且在攻擊發生後 24 小時，受影響的裝置就從關鍵內網中移除，但兩起事件的受攻擊伺服器，都尚未套用更新，仍在執行舊版 Adobe CodeFusion v2016.0.0.3 和 v2021.0.0.2。

各個使用 Adobe CodeFusion 的公私單位，應立即更新至最新版本，並且將關鍵主機網段與公眾網路隔開，並設置防火牆、設定更嚴格的執行權限要求等。