CVE-2023-26360: Adobe ColdFusion-fejl udnyttet i naturen

On marts 15 2023, USA. Cybersecurity and Infrastructure Security Agency (CISA) tilføjet en sikkerhedssårbarhed, der påvirker Adobe ColdFusion, til sit katalog over kendte udnyttede sårbarheder, baseret på beviser for aktiv udnyttelse.

Denne sårbarhed, mærket CVE-2023-26360 (CVSS-score: 8.6), er klassificeret som en kritisk fejl, da det kunne gøre det muligt for trusselsaktører at vinde fjernkørsel af programkode. CISA beskrev sårbarheden som en ukorrekt adgangskontrol, der muliggør fjernudførelse af kode.

CVE-2023-26360: Teknisk oversigt

Denne sårbarhed, CVE-2023-26360, er et ukorrekt adgangskontrolproblem, der påvirker ColdFusion 2021 udgave 5 og tidligere, samt ColdFusion 2018 udgave 15 og tidligere. Ved at udnytte denne sårbarhed, uautoriserede angribere kan få vilkårlig kodeudførelse på en ekstern maskine.

Det er vigtigt at være opmærksom på, at CVE-2023-26360 påvirker ColdFusion 2016 og ColdFusion 11 installationer. Men, de understøttes ikke længere, siden de nåede udgangen af deres levetid (EoL). Selvom detaljerne om angrebene stadig er uklare, Adobe har udtalt, at de er opmærksomme på den sårbarhed, der bliver brugt til at udføre “begrænsede angreb” i det vilde.

Adobe udgav en patch til CVE-2023-26360 den 14. marts, 2023 som reaktion på sårbarheden.

Tidligere Adobe ColdFusion-fejl brugt i angreb

I 2021, Sophos rapporterede, at cyberkriminelle udnyttede en 11-årig Adobe ColdFusion 9 sårbarhed at få fjernstyring af servere. Målet med angrebet var at implementere Cring ransomware og inficere andre systemer i det målrettede netværk. Angrebet beskadigede delvist ColdFusion-serveren, men Sophos formåede at udtrække beviser såsom logfiler og filer fra maskinen. Derudover, andre maskiner på netværket blev fuldstændig ødelagt af ransomware.