op maart 15 2023, de U.S. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) een beveiligingslek toegevoegd dat Adobe ColdFusion treft in de catalogus met bekende uitgebuite kwetsbaarheden, gebaseerd op bewijs van actieve uitbuiting.
Deze kwetsbaarheid, gelabeld CVE-2023-26360 (CVSS-score: 8.6), wordt geclassificeerd als een kritieke fout, omdat het bedreigingsactoren in staat zou kunnen stellen te winnen uitvoering van externe code. CISA beschreef het beveiligingslek als een onjuiste toegangscontrole die het mogelijk maakt om op afstand code uit te voeren.
CVE-2023-26360: technisch overzicht
Deze kwetsbaarheid, CVE-2023-26360, is een onjuist probleem met toegangscontrole dat van invloed is op ColdFusion 2021 versie 5 en eerder, evenals ColdFusion 2018 versie 15 en eerder. Door misbruik te maken van deze kwetsbaarheid, niet-geverifieerde aanvallers kunnen willekeurige code uitvoeren op een externe machine.
Het is belangrijk om te weten dat CVE-2023-26360 ColdFusion beïnvloedt 2016 en ColdFusion 11 installaties. Echter, ze worden niet langer ondersteund sinds ze het einde van hun levensduur hebben bereikt (EoL). Hoewel de details van de aanslagen nog onduidelijk zijn, Adobe heeft verklaard op de hoogte te zijn van de kwetsbaarheid die wordt gebruikt om uit te voeren “beperkte aanvallen” in het wild.
Adobe heeft op 14 maart een patch uitgebracht voor CVE-2023-26360, 2023 als reactie op de kwetsbaarheid.
Eerdere Adobe ColdFusion-fouten gebruikt bij aanvallen
In 2021, Sophos meldde dat cybercriminelen er misbruik van maakten een 11 jaar oude Adobe ColdFusion 9 kwetsbaarheid om op afstand controle over servers te krijgen. Het doel van de aanval was om de Cring-ransomware in te zetten en andere systemen in het beoogde netwerk te infecteren. De aanval beschadigde de ColdFusion-server gedeeltelijk, maar Sophos slaagde erin om bewijsmateriaal zoals logboeken en bestanden van de machine te halen. Bovendien, andere machines op het netwerk werden volledig vernietigd door de ransomware.