Una campaña coordinada de explotación ha disparado las alarmas globales, con atacantes bombardeando servidores vulnerables para lograr la ejecución remota de código.
La infraestructura heredada (legacy) vuelve a ser el talón de Aquiles de muchas empresas. Según un nuevo reporte de ciberseguridad, los servidores que ejecutan Adobe ColdFusion están sufriendo una oleada de ataques sin precedentes, registrando más de 2.5 millones de solicitudes maliciosas en un corto periodo de tiempo.
Esta ofensiva masiva busca explotar vulnerabilidades críticas de deserialización (principalmente CVE-2023-26360) que, a pesar de tener parches disponibles desde hace tiempo, siguen presentes en miles de sistemas expuestos a internet.
La Escala del Ataque
Los investigadores han observado una actividad frenética dirigida contra la ruta /CFIDE/administrator, el panel de administración por defecto de ColdFusion.
- Volumen: La campaña ha generado millones de intentos de explotación, lo que sugiere el uso de botnets automatizadas para “barrer” internet en busca de objetivos fáciles.
- Objetivo: Los atacantes intentan inyectar comandos a través de solicitudes HTTP POST manipuladas, buscando provocar una “deserialización de datos no confiables”.
¿Qué buscan los atacantes?
El objetivo final es claro: RCE (Ejecución Remota de Código). Si tienen éxito, los criminales no solo obtienen acceso al servidor, sino que pueden:
- Instalar Web Shells: Herramientas como “Godzilla” o variantes personalizadas que les dan control persistente sobre la máquina.
- Robar Datos: Acceder a archivos de configuración (neo-security.xml) para descifrar contraseñas de bases de datos y robar información corporativa sensible.
- Pivoteo: Usar el servidor comprometido como cabeza de playa para atacar el resto de la red interna de la organización.
¿Por qué ahora?
Aunque la vulnerabilidad CVE-2023-26360 fue revelada y parcheada anteriormente, los actores de amenazas saben que la aplicación de parches en entornos ColdFusion suele ser lenta y compleja. Esta campaña parece ser un intento oportunista de “cosechar” todos los servidores que quedaron rezagados en sus actualizaciones de seguridad antes de que termine el año.
Recomendaciones
- Parcheo Inmediato: Asegúrese de estar ejecutando las últimas actualizaciones de seguridad proporcionadas por Adobe (ColdFusion 2021 Update 12 o 2023 Update 6, según corresponda).
- Restricción de Acceso: Bloquee el acceso público a los directorios /CFIDE/administrator, /cf_scripts/ y otras rutas administrativas. Estas solo deberían ser accesibles desde direcciones IP internas confiables o mediante VPN.
- WAF (Web Application Firewall): Implemente reglas para filtrar solicitudes POST sospechosas que contengan cargas útiles de serialización Java conocidas.
