GÜNCELLEME 7/17/23: Makale, Adobe tarafından e -posta bildirimine eklenen yanlış bir uyarı nedeniyle güncellendi. Bununla birlikte, hatanın daha yeni bir versiyonunun Rapid7 tarafından aktif olarak sömürüldüğü görülmüştür.
Bilgisayar korsanları, kimlik doğrulamasını atlamak ve savunmasız sunuculara web kabuklarını yüklemek için komutları uzaktan yürütmek için aktif olarak iki ColdFusion güvenlik açığından yararlanıyor.
Aktif sömürü, tehdit aktörlerinin bir erişim kontrolü bypass güvenlik açığı (CVE-2023-29298) ve kritik bir uzaktan kod yürütme güvenlik açığı olan CVE-2023-38203 için istismarları bir araya getirdiğini söyleyen Rapid7'deki araştırmacılar tarafından görüldü.
11 Temmuz'da Adobe, Rapid7 araştırmacıları Stephen tarafından keşfedilen CVE-2023-29298 olarak izlenen bir ColdFusion kimlik doğrulama bypass'ı açıkladı ve Crowdstrike araştırmacısı Nicolas Zilio tarafından keşfedilen CVE-2023-29300 olarak izlenen bir Pre-Pre-RCE güvenlik açığı.
CVE-2023-29300, düşük karmaşıklık ataklarında savunmasız Coldfusion 2018, 2021 ve 2023 sunucularına uzaktan yürütülmeleri için kimliksiz ziyaretçiler tarafından kullanılabileceğinden, 9.8 şiddet derecesi ile kritik olarak derecelendirilen bir festur.
Güvenlik açığı o zaman yararlanılmamış olsa da, Project Discovery tarafından yakın zamanda kaldırılan bir teknik blog yazısı, 12 Temmuz'da CVE-2023-29300 için bir kavram kanıtı içeren yayınlandı.
Project Discover'in şu anda kaldırılmış blog yazısına göre, güvenlik açığı WDDX kütüphanesindeki güvensiz seansizasyondan kaynaklanıyor.
Project Discovery Blog yazısını açıklıyor "Sonuç olarak, analizimiz WDDX Soldfusion 2021 (Güncelleme 6) içindeki WDDX Deserializasyon sürecinde önemli bir güvenlik açığı ortaya koydu."
Diyerek şöyle devam etti: "Bu güvenlik açığından yararlanarak, uzaktan kod yürütülmesini sağlayabildik. Sorun, belirli yöntemlerin çağrılmasına izin veren Java Yansıma API'sının güvenli olmayan bir şekilde kullanılmasından kaynaklandı."
Rapid7, Adobe'nin kötü niyetli gadget zincirlerinin oluşturulmasını önlemek için Web Dağıtılmış Veri Değişimi (WDDX) kütüphanesi için bir Redy Listesi ekleyerek bu güvenlik açığını düzelttiğini söylüyor.
"Adobe muhtemelen bu WDDX işlevselliğini tamamen kaldıramıyor, çünkü bu ona dayanan her şeyi kıracak, bu nedenle WDDX verilerinin sazipleşmesini yasaklamak yerine, sazüzlenemeyen Java sınıfı yollarının bir denilistini uyguluyorlar (bu nedenle bir saldırgan olamaz Bu sınıf yollarında bulunan bir serileştirme gadget'ı belirtin ”," Rapid7'nin bir raporunu açıklıyor.
14 Temmuz'da Adobe, Project Discovery'nin keşfettiği CVE-2023-38203 için bant dışı bir güvenlik güncellemesi yayınladı.
Rapid7, bu güvenlik açığının CVE-2023-29300 kusurunu atladığına inanıyor ve araştırmacılar uzaktan kod yürütülmesini sağlamak için kullanılabilir bir gadget zinciri buluyor.
Adobe'nin OOB Güvenlik Güncellemesi, 'com.sun.rowset üzerinden bir gadget'ı önlemek için REDY listesini bir kez daha günceller. Project Discover'ın POC istismarında kullanılan sınıf olan jdbcrowsetimpl 'sınıfı.
Ne yazık ki, bu güvenlik açığı düzeltilmiş gibi görünse de, Rapid7 bugün CVE-2023-29298 kusurlarının düzeltmesinin hala atlanabileceğini keşfettiklerini söylüyorlar, bu yüzden yakında Adobe tarafından başka bir yama beklemeliyiz.
Adobe, yöneticilerin güvenliği artırmak ve saldırılara karşı daha iyi savunma sunmak için 'Lockdown' ColdFusion kurulumlarını önerir.
Bununla birlikte, proje keşif araştırmacıları CVE-2023-29300 (ve muhtemelen CVE-2023-38203) kilitleme modunu atlamak için CVE-2023-29298 ile zincirlenebileceği konusunda uyardı.
"Bu güvenlik açığından yararlanmak için, tipik olarak, geçerli bir CFC uç noktasına erişim gereklidir. Ancak, varsayılan Auth öncesi CFC uç noktalarına ColdFusion kilitleme modu nedeniyle doğrudan erişilemezse, bu güvenlik açığını CVE-2023-29298 ile birleştirmek mümkündür. , "Project Discovery'nin teknik yazısını tamamlar.
"Bu kombinasyon, kilitli modda yapılandırılmış olsa bile, savunmasız bir ColdFusion örneğine karşı uzaktan kod yürütülmesini sağlar."
Bugün Rapid7, CVE-2023-29298 Kusur için saldırganların zincir istismarlarını görmeye başladıklarını ve teknik yazının yayınlanmasından bir gün sonra Project Discovery'nin yazısında 13 Temmuz'da gösterilen istismar gibi görünen şey görmeye başladıklarını söylüyor.
Saldırganlar bu istismarları güvenliği atlamak ve cihazlara uzaktan erişim elde etmek için savunmasız ColdFusion sunucularına web kabuklarını kurmak için kullanırlar.
Bu web kabukları aşağıdaki klasörde görülmüştür:
. \ Coldfusion11 \ cfusion \ wwwroot \ cfide \ ckeditr.cfm
Rapid7 şu anda CVE-2023-29298'i tam olarak düzeltmek için bir yama olmadığını söylerken, istismar CVE-2023-38203 gibi ikinci bir güvenlik açığı gerektirir. Bu nedenle, en son ColdFusion sürümünü kurmak istismar zincirini önleyecektir.
Rapid7, "Bu nedenle, CVE-2023-38203'ü düzelten ColdFusion'ın en son mevcut sürümüne güncellemek, MDR ekibimizin gözlemlediği saldırgan davranışını önlemelidir."
Saldırılardaki sömürü nedeniyle, yöneticilerin ColdFusion'ı en kısa sürede yamalamak için en son sürüme yükseltmesi tavsiye edilir.
7/17/23: Rapid7 ve Adobe'den gelen bilgilerle güncellenen makale, CVE-2023-29300'ün sömürüldüğünü yanlışlıkla uyardıklarını belirtti.
Veri hırsızlığı saldırılarında yeni Moveit Transferi Zero-Day Mass-Massploed
Kritik WordPress WooCommerce Payments Hatası'ndan yararlanan bilgisayar korsanları
Cisco SD-Wan Vmanage, kimlik doğrulanmamış REST API Erişiminden Etkilendirildi
Popüler Ghostscript açık kaynaklı PDF kütüphanesinde bulunan eleştirel RCE
Fortinet, Fortios, Fortiproxy Cihazlardaki Kritik RCE Kusurunu uyarıyor
Kaynak: Bleeping Computer