11. september i år la Adobe ut en patch for sin ColdFusion server og det ser ut til at hackere fattet interesse for denne patchen som skulle hindre muligheten for å laste opp .jsp filer til serveren. Et par uker senere, i slutten av september begynte en gruppe hackere å aktivt lete etter upatchede ColdFusion servere. Basert på tekniske funn og operasjonsmønsteret er det antatt at det er en kinesisk APT (Advanced Persistent Threat) gruppe som står bak.
Svakheten oppstod etter at Adobe endret en editor i systemet som på grunn av et litt annet oppsett medførte at kjørbare .jsp filer kunne lastes opp til systemet og APT gruppen brukte dette til å laste opp en versjon av bakdøren "China Chopper" for å få full tilgang til systemet. Det er så langt ikke kjent hva det endelige målet med denne aksjonen er men sikkerhetsanalytikere antar gruppen vil bruke serverene i fremtiden til å videreformidle skadevare, spear-phishing, vannhullsangrep eller som en proxyhost for å skjule sine spor.
De som har vært sene med å patche sine servere bør sjekke loggen grundig etter unormal aktivitet.
Vi i Aztek kan hjelpe deg med å holde dine systemer oppdatert slik at risikoen for angrep og andre problemer er så lav som mulig.
