ColdFusion 更新的延迟安装给美国组织开了一个残酷的玩笑。

网络安全和基础设施安全局（CISA） 披露了 美国联邦机构的两台公共服务器遭受严重攻击的信息。犯罪分子利用了Adobe ColdFusion中的一个严重漏洞（编号为 CVE-2023-26360 ） 。

该漏洞 于 3 月份公开 ，并已于 4 月份被纳入 CISA 已知可利用漏洞目录中，美国联邦机构被要求在 4 月 5 日之前修复该漏洞。

然而，在 6 月和 7 月， 有消息称 该漏洞从未得到修补，这主要是由于 Adobe 的过错，使得攻击者随着时间的推移能够成功攻击易受攻击的系统。

CISA 没有提供有关该漏洞是否随后得到完全修补、谁是攻击幕后黑手，或者该机构对于错过修补最后期限的官方立场的信息。

对日志的分析结果表明，联邦服务器受到了两次单独的攻击。两台受攻击的服务器都使用过时版本的 ColdFusion，并且容易受到多个 CVE 的攻击。攻击者在受感染的服务器上启动了各种命令，包括利用该漏洞下载恶意软件。

虽然 CISA 无法确认数据是否被盗，但据信这两次攻击都是情报驱动的，目的是调查更广泛的网络。目前尚不清楚这些攻击是否涉及同一运营商。

第一次袭击发生在六月二日。攻击者利用CVE-2023-26360漏洞获得了服务器的访问权限并执行了各种侦察任务。然而，攻击的其他阶段，例如尝试收集凭据和更改受感染服务器上的策略，均未成功。

第二次违规发生在6月26日。攻击者利用了CVE-2023-26360，并花了很长时间探索该系统。然而，恶意代码无法解密密码，因为它是为旧版本的 ColdFusion 设计的。

CISA 强调，攻击者可能获得了种子值和 ColdFusion 加密方法的访问权限，理论上可以解密密码。尽管如此，在受感染的服务器上没有发现恶意代码，表明有人尝试使用这些值进行解密。

这些事件凸显了及时更新软件以防止此类网络攻击的必要性。即使软件供应商无法立即完全消除安全漏洞，也肯定会在后续更新中这样做。这就是为什么管理员及时安装任何安全更新极其重要的原因。“如果有用就不要碰它”的原则在这里绝对不适用。