Tin tặc khai thác một lỗ hổng trong Adobe ColdFusion để cài đặt phần mềm độc hại nhằm đánh cắp dữ liệu, hoạt động như một mô-đun của phần mềm máy chủ Web IIS (Internet Information Services).

Gần đây, các nhà nghiên cứu thuộc công ty bảo mật Trustwave cho biết họ đã phát hiện các máy chủ IIS (Internet Information Server) bị lây nhiễm các mô-đun độc hại dùng để đánh cắp thông tin mà người dùng đưa lên các trang web được lưu trữ trên các máy chủ đó.

Các mô-đun là các tập tin thư viện DLL (Dynamic Link Library) giả tạo và được cài đặt bởi một phần mềm độc hại mà các nhà nghiên cứu của Trustwave gọi là ISN, lây nhiễm trên cả hai phiên bản 32-bit và 64-bit của IIS6 và IIS7+.

ISN nhận biết các phiên bản IIS và cài đặt mô-đun DLL tương ứng, sau đó theo dõi các yêu cầu với phương thức POST - tải dữ liệu lên - đến các URL cụ thể và lưu thông tin vào một tập tin nhật ký.

Phương pháp này cho phép thu thập dữ liệu ngay cả khi kết nối giữa người dùng và máy chủ được bảo vệ bởi SSL (Secure Sockets Layer). Ví dụ, dữ liệu được thu thập có thể là thông tin cá nhân và thanh toán được nhập vào một trang web thương mại điện tử đang chạy trên máy chủ IIS bị lây nhiễm. Các tập tin DLL giả mạo cho phép tin tặc gửi các lệnh nhất định thông qua các tham số URL để tải về thông tin được lưu trữ.

Trong một bài mới đăng trên blog hôm thứ Sáu, các nhà nghiên cứu tiết lộ rằng ISN được cài đặt trên máy chủ IIS bằng việc khai thác một lỗ hổng mà bỏ qua bước chứng thực từ xa trong Adobe ColdFusion, một nền tảng ứng dụng Web.

Adobe đã phát hành một bản vá cho lỗ hổng này, được nhận biết bởi lỗ hổng CVE-2013-0629, trở lại tháng Giêng, một vài tuần sau khi cảnh báo khách hàng rằng lỗ hổng này đã được khai thác để thực hiện tấn công.

Trong trường hợp này, tin tặc khai thác lỗ hổng CVE-2013-0629 để cài đặt một phần mềm cửa hậu (backdoor) gọi là Web shell mà cho phép chúng thực hiện các lệnh shell ở mức hệ thống điều hành.

Cuối tháng Hai, các nhà nghiên cứu của Trustwave đã theo dõi lỗ hổng trên ColdFusion để phát hiện ra việc cài đặt của ISN, hơn một tháng sau khi Adobe phát hành bản vá của mình. "Trong vụ việc cụ thể này, các nạn nhân đã nhận được báo cáo về lỗ hổng của Adobe, tuy nhiên vụ việc đã xảy ra trong quá trình xây dựng bản vá và chưa được cài đặt bản vá," các nhà nghiên cứu của Trustwave cho biết.

Vụ việc cho thấy một vấn đề đối với nhiều tổ chức là họ cần điều chỉnh lịch cập nhật bản vá để theo kịp với tin tặc ngày nay, đang nhắm đến những lỗ hổng mới nhanh hơn nhiều so với những năm trước.

Điều này cũng cho thấy ColdFusion là một mục tiêu thú vị cho tin tặc. Trong năm nay, Adobe đã cảnh báo khách hàng hai lần về các lỗ hổng trong ColdFusion mà không có bản vá lỗi và đã bị tin tặc khai thác. Vào tháng Tư, tin tặc đã xâm nhập vào các máy chủ quản lý và cơ sở dữ liệu khách hàng của Linode, một công ty cung cấp dịch vụ máy chủ ảo, bằng cách khai thác một lỗ hổng trong ColdFusion chưa được biết đến.