Adobe har for nylig udsendt et nyt sæt opdateringer for at rette op på en ufuldstændig rettelse af en nylig afsløret sårbarhed i ColdFusion, som er blevet aktivt udnyttet i virkelige scenarier.
CVE-2023-38205
Dette kritiske spørgsmål, identificeret som CVE-2023-38205 med en CVSS-score på 7.5, er kategoriseret som forkert adgangskontrol, udgør en potentiel sikkerhedstrussel. De berørte versioner omfatter:
ColdFusion 2023 (Opdatering 2 og tidligere versioner)
ColdFusion 2021 (Opdatering 8 og tidligere versioner)
ColdFusion 2018 (Opdatering 18 og tidligere versioner)
Ifølge Adobe, de er opmærksomme på begrænsede angreb rettet mod Adobe ColdFusion gennem udnyttelsen af CVE-2023-38205.
Opdateringen adresserer ikke kun CVE-2023-38205, men tackler også to andre sårbarheder. En af dem er en kritisk deserialiseringsfejl kendt som CVE-2023-38204, CVSS-score 9.8, der kunne føre til fjernkørsel af programkode. Den anden sårbarhed, CVE-2023-38206, er også relateret til forkert adgangskontrol (CVSS-score 5.3) og potentielt kan resultere i en sikkerhedsomgåelse.
Hvad er Adobe ColdFusion?
Adobe ColdFusion er en kommerciel webapplikationsudviklingsplatform og programmeringssprog udviklet af Adobe Systems (tidligere Macromedia). Det giver udviklere mulighed for at bygge dynamiske websteder, webapplikationer, og webtjenester ved at muliggøre nem integration med databaser og andre teknologier. ColdFusion er kendt for sine hurtige udviklingsmuligheder og tilbyder et højt produktivitetsniveau til at skabe funktionsrige webapplikationer.
CVE-2023-29298
I juli 11, 2023, både Rapid7 og Adobe lavede en joint afsløring om CVE-2023-29298, en adgangskontrol omgå sårbarhed, der påvirker ColdFusion. Rapid7 havde tidligere rapporteret denne sårbarhed til Adobe i april 2023. Fejlen gør det muligt for angribere at omgå sikkerhedsforanstaltningen, der begrænser ekstern adgang til ColdFusion-administratoren.
På tidspunktet for deres koordinerede offentliggørelse, både Rapid7 og Adobe mente, at CVE-2023-29298 var blevet rettet. Men, det er vigtigt at bemærke, at Rapid7 udtrykkeligt sagde, at de ikke havde testet patchen udgivet af Adobe.
Kun få dage efter at være blevet advaret af Rapid7 om den ufuldstændige rettelse til CVE-2023-29298, som let kan omgås af ondsindede personer, denne nye afsløring blev givet. Cybersikkerhedsfirmaet har nu bekræftet, at den seneste patch effektivt løser sikkerhedshullet.
Sårbarheden CVE-2023-29298, klassificeret som en adgangskontrol bypass, er allerede blevet udnyttet i virkelige angreb. I disse hændelser, angribere har kombineret det med en anden formodet fejl, muligvis CVE-2023-38203, at implementere web-shells på kompromitterede systemer og etablere bagdørsadgang.
Til Adobe ColdFusion-brugere, det anbefales stærkt at opdatere deres installationer til den seneste version som en sikkerhedsforanstaltning mod potentielle trusler.