Se explota una vulnerabilidad en ColdFusion para instalar malware en Microsoft ISS
Un malware se está haciendo pasar por un módulo ISS para recoger los datos que llegan a los servidores aprovechando una vulnerabilidad ya parcheada en Adobe ColdFusion.
Se ha detectado que se está explotando una vulnerabilidad existente en Adobe ColdFusion –una plataforma de aplicación web, para instalar un malware capaz de robar datos y que funciona como su fuera un módulo para Microsoft Internet Information Services (IIS) Web. La firma de seguridad Trustwave es quien se hace responsable de esta información, asegurando que ha identificado servidores web IIS (Internet Information Server) infectados con módulos ISS maliciosos, diseñados para robar la información que los usuarios están alojando en dichos servidores.
Los módulos son archivos DLL falsos y fueron instalados por un programa malicioso que los investigadores de Trstyware bautizaron como ISN y que infecta tanto a las versiones de 32-bit como a las de 64-bits de IIS6 e IIS7+.
Según explica la compañía en un blog, ISN detecta qué versión de ISS se está utilizando antes de instalar el módulo DLL correspondiente; este módulo monitoriza las peticiones POST a URL específicas y guarda la información en un archivo de registro. El método permite recopilar la información incluso aunque el usuario y el servidor estén utilizando el protocolo de seguridad SSL. Además, los DLL falsos permiten a los atacantes enviar ciertos comandos a través de parámetros URL con el fin de descargar la información almacenada.
El malware ISN se instala explotando servidores ISS comprometidos al explotarse una vulnerabilidad de autenticación remota en Adobe ColdFusion, una vulnerabilidad para la que la compañía lanzó un parche el pasado mes de enero.