Adobe heeft onlangs een nieuwe reeks updates uitgebracht om een onvolledige oplossing voor een onlangs onthulde kwetsbaarheid in ColdFusion te herstellen, die actief is uitgebuit in real-world scenario's.
CVE-2023-38205
Dit kritieke probleem, geïdentificeerd als CVE-2023-38205 met een CVSS-score van 7.5, is gecategoriseerd als ongepaste toegangscontrole, die een potentiële dreiging vormen om de beveiliging te omzeilen. De getroffen versies omvatten:
ColdFusion 2023 (Update 2 en eerdere versies)
ColdFusion 2021 (Update 8 en eerdere versies)
ColdFusion 2018 (Update 18 en eerdere versies)
Volgens Adobe, ze zijn op de hoogte van beperkte aanvallen gericht op Adobe ColdFusion door gebruik te maken van CVE-2023-38205.
De update lost niet alleen CVE-2023-38205 op, maar pakt ook twee andere kwetsbaarheden aan. Een daarvan is een kritieke deserialisatiefout die bekend staat als CVE-2023-38204, CVSS-score 9.8, dat zou kunnen leiden uitvoering van externe code. De andere kwetsbaarheid, CVE-2023-38206, heeft ook te maken met onjuiste toegangscontrole (CVSS-score 5.3) en kan mogelijk resulteren in een beveiligingsomleiding.
Wat is Adobe ColdFusion?
Adobe ColdFusion is een ontwikkelplatform voor commerciële webapplicaties en programmeertaal ontwikkeld door Adobe Systems (voorheen Macromedia). Hiermee kunnen ontwikkelaars dynamische websites bouwen, web applicaties, en webservices door eenvoudige integratie met databases en andere technologieën mogelijk te maken. ColdFusion staat bekend om zijn snelle ontwikkelingsmogelijkheden en biedt een hoge mate van productiviteit voor het maken van feature-rijke webapplicaties.
CVE-2023-29298
Op juli 11, 2023, zowel Rapid7 als Adobe hebben een joint gemaakt openbaring over CVE-2023-29298, een toegangsbeheer-bypass-kwetsbaarheid die van invloed is op ColdFusion. Rapid7 had dit beveiligingslek eerder in april aan Adobe gemeld 2023. Door de fout kunnen aanvallers de beveiligingsmaatregel omzeilen die externe toegang tot de ColdFusion-beheerder beperkt.
Op het moment van hun gecoördineerde onthulling, zowel Rapid7 als Adobe waren van mening dat CVE-2023-29298 was opgelost. Echter, het is belangrijk op te merken dat Rapid7 expliciet verklaarde dat ze de door Adobe uitgebrachte patch niet hadden getest.
Slechts enkele dagen nadat hij door Rapid7 was gewaarschuwd voor de onvolledige oplossing voor CVE-2023-29298, die gemakkelijk kunnen worden omzeild door kwaadwillende personen, deze nieuwe onthulling is gedaan. Het cyberbeveiligingsbedrijf heeft nu bevestigd dat de nieuwste patch de beveiligingskloof effectief aanpakt.
De kwetsbaarheid CVE-2023-29298, geclassificeerd als een bypass voor toegangscontrole, is al misbruikt bij real-world aanvallen. Bij deze incidenten, aanvallers hebben het gecombineerd met een andere vermoedelijke fout, mogelijk CVE-2023-38203, om webshells op gecompromitteerde systemen in te zetten en achterdeurtoegang tot stand te brengen.
Voor Adobe ColdFusion-gebruikers, het wordt ten zeerste aangeraden om hun installaties onmiddellijk bij te werken naar de meest recente versie als voorzorgsmaatregel tegen mogelijke bedreigingen.