Vulnerabilități critice ColdFusion exploatate în atacuri pentru a lansa webshell-uri
https://www.bleepingcomputer.com
Atacatorii exploatează două vulnerabilități ColdFusion pentru a ocoli măsurile de autentificare și pentru a executa comenzi de la distanță în vederea instalării de webshell-uri pe servere vulnerabile.
Specialiștii în domeniul securității cibernetice au constatat că persoanele rău intenționate exploatează o vulnerabilitate de tip access control bypass (CVE-2023-29298) și o vulnerabilitate critică de tip remote code execution (CVE-2023-38203).
În data de 11 iulie, compania Adobe a dezvăluit o vulnerabilitate de tip ColdFusion authentication bypass identificată ca CVE-2023-29298 și una de tip pre-auth RCE identificată, de asemenea, ca CVE-2023-29300.
CVE-2023-29300 este o vulnerabilitate de tip deserialization catalogată ca fiind critică, cu un scor CvSS de 9,8/10, deoarece ar putea fi exploatată de persoane neautentificate pentru a executa comenzi de la distanță în cadrul serverelor Coldfusion 2018, 2021 și 2023 vulnerabile.
Compania a remediat această vulnerabilitate prin adăugarea unei liste deny pentru biblioteca Web Distributed Data eXchange (WDDX) cu scopul de a preveni crearea de dispozitive malițioase.
În data de 14 iulie, Adobe a lansat o actualizare de securitate out-of-band pentru CVE-2023-38203.
Adobe recomandă ca administratorii să blocheze instalările ColdFusion pentru a spori securitatea și a evita viitoarele atacuri.
Cu toate acestea, specialiștii au avertizat că CVE-2023-29300 (și probabil CVE-2023-38203) ar putea avea legături cu CVE-2023-29298 pentru a ocoli modul de blocare.
Această asociere permite executarea de cod de la distanță împotriva unei instanțe ColdFusion vulnerabile, chiar și atunci când aceasta este configurată în modul de blocare.
Atacatorii folosesc aceste exploit-uri pentru a ocoli securitatea și a instala webshell-uri pe servere ColdFusion vulnerabile pentru a obține acces de la distanță la dispozitive.
Aceste webshell-uri au fost observate în următorul folder: .
- \ColdFusion11\cfusion\wwwroot\CFIDE\ckeditr.cfm
Administratorii sunt sfătuiți să actualizeze ColdFusion la cea mai recentă versiune pentru a remedia vulnerabilitatea cât mai repede.
Sursă: https://www.bleepingcomputer.com/news/security/critical-coldfusion-flaws-exploited-in-attacks-to-drop-webshells/
