Duas vulnerabilidades no Adobe ColdFusion são explorados em ataques do mundo real, a Cibersegurança & Agência de segurança de infraestrutura (CISA) avisa. Ambas as questões estão relacionadas à possibilidade de execução arbitrária de código, causado pela má validação de dados desserializados. A Adobe lançou patches para essas duas vulnerabilidades de volta em meados de julho 2023, quando foram originalmente detectados.
Vulnerabilidades do ColdFusion ACE exploradas em ataques do mundo real
Em janeiro 8, CISA divulgou seu aviso regular sobre novas vulnerabilidades exploradas, especificando entre outros 2 violações de segurança no Adobe ColdFusion. Ambos estão namorando o verão 2023, com os patches disponíveis quase ao mesmo tempo. Apesar disso, a organização afirma sobre a exploração, o que não é duvidoso tendo em conta as tendências. E já que ambas as vulnerabilidades pontuam a classificação CVSS de 9.8, o próprio fato de seu uso em ataques cibernéticos é preocupante.
Como eu disse na introdução, ambos CVE-2023-29300 e CVE-2023-38203 são sobre o validação de dados deficiente na desserialização que leva à execução arbitrária de código (ÁS). Interessantemente suficiente, ambos tocam as mesmas versões de string do ColdFusion – 2018, 2021 e 2023. Enviando um pacote de dados especificamente criado, direcionado ao servidor ColdFusion vulnerável, adversários podem fazer o servidor executar o código que precisam. Nenhuma interação do usuário é necessária para este truque, o que aumenta ainda mais a gravidade da vulnerabilidade.
Vulnerabilidades de execução de código arbitrário podem servir tanto como pontos de acesso iniciais quanto como oportunidades para movimento lateral. O fato de esta vulnerabilidade específica funcionar como está, sem a necessidade de entrada do usuário, faz a exploração apenas um pedaço de bolo. E como o ColdFusion é uma solução de servidor de aplicativos bastante popular, não é difícil alcançar algo importante depois de comprometê-lo, sem mencionar como é fácil encontrar uma vítima.
Lista de versões afetadas do ColdFusion
| Vulnerabilidade | Versões afetadas do ColdFusion |
|---|---|
| CVE-2023-29300 CVE-2023-38203 |
Fusão a frio 2018, 2021, 2023 |
Patches de vulnerabilidade do Adobe ColdFusion & Mitigação
Ao descobrir as vulnerabilidades em junho 2023, Adobe lançou as atualizações1 2 que têm esses problemas corrigidos. A empresa insistiu nos usuários para instalar esses patches O mais breve possível. E bem, não pode ser um momento melhor para atualizar do que agora, após a notificação oficial sobre a exploração. Aqui está a lista de versões do ColdFusion que não são mais vulneráveis às ditas façanhas:
| Versão | Fixado em |
|---|---|
| Fusão a frio 2023 | Atualizar 1 |
| Fusão a frio 2021 | Atualizar 7 |
| Fusão a frio 2018 | Atualizar 17 |
Ao mesmo tempo, nenhuma solução alternativa ou mitigação está disponível. Isso era esperado embora, já que a natureza dessas vulnerabilidades não supõe a capacidade de corrigi-las sem a intrusão no código do programa. Na verdade, houve mais de meio ano para atualizar, então aplicar qualquer correção improvisada agora é irracional em qualquer caso.
Ainda, existe a capacidade de proteger preventivamente a rede de qualquer tipo de intrusão. Usando Detecção e resposta de rede (NDR) soluções, você torna muito menos provável que o tráfego ilícito chegue aos seus servidores. Combinando isso com soluções de proteção abrangentes, como Detecção e Resposta Estendidas (XDR), você receberá um escudo confiável contra ameaças conhecidas, bem como aqueles que estão apenas para serem descobertos.
- Boletim de segurança da Adobe referente ao CVE-2023-29300.
- Boletim de segurança da Adobe referente ao CVE-2023-38203.
