Adobe Coldfusion: Citroen messa a rischio dal software proprietario

adobe-cf

L’ultima vittima di una serie di attacchi provenienti da una gang di cyber criminali è la casa francese produttrice di automobili Citroen: ieri il CISO (Chief Information Security Officer) di Citroen Alex Holden ha confermato che uno dei siti web per lo shopping di gadget personalizzati (shop.citroen.de), conteneva un backdoor ora rimosso. Per il tipo di software presente sulla piattaforma (Adobe Coldfusion) e altre modalità, gli esperti pensano che il server sia finito sotto il controllo di una nota banda criminale che da novembre 2013 sta prendendo di mira il web server di casa Adobe: l’attività criminale è orientata sopratutto al furto di carte di credito e altre informazioni utili per fare illeciti profitti e visto il livello di controllo raggiunto sulla macchina la situazione è molto grave; Citroen per ora non ha confermato se i dati presenti sul sito siano stati rubati, ha però bloccato gli acquisti sul sito come misura preventiva.

Il risultato di una mancanza di attenzione da parte del team di anyMotion, a cui Citroen si è rivolta per gestire il sito web, è risultata in una breccia colossale: “per spiegare come funziona il backdoor, fornisce una shell con i privilegi dell’utente che avvia il servizio [Coldfusion] e una command-line SQL verso il database” ha spiegato Holden, aggiungendo che “questo tipo di attacco non è stato solo verso di noi, c’è stata una ricerca su tutta internet per verificare se esistano altri server vulnerabili”. Un monito a chi facesse uso di questo prodotto quindi: le patch per risolvere i problemi di sicurezza che hanno causato il problema sono già disponibili. Coldfusion è l’application server sviluppato da Adobe, di cui è presente una lunga lista di vulnerabilità e su cui l’attenzione è stata posta dopo che alcuni ricercatori hanno presentato la scorsa estate una metodologia per sfruttare il protocollo di comunicazione tra il software e la Java virtual machine sottostante, con risultato di eseguire arbitrariamente codice sul server in cui risiede l’application server. Adobe stessa lo utilizza per i suoi siti web e infatti è stata vittima a sua volta dello stesso attacco lo scorso anno: chissà se avessero preferito WildFly o Tomcat, ne staremmo parlando?

Tags: , , ,