Nisan ayında yamalanan ikinci bir Adobe ColdFusion güvenlik açığı, CISA’nın bilinen istismar edilen güvenlik açıkları kataloğuna eklendi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismar kanıtlarına dayanarak Bilinen Açıklardan Yararlanan Güvenlik Açıkları Kataloğuna kritik bir Adobe ColdFusion güvenlik açığı ekledi. Bu, Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarını aktif tehditlere karşı korumak için 11 Eylül 2023’e kadar bu güvenlik açığını gidermeleri gerektiği anlamına geliyor.
Adobe ColdFusion, web uygulamaları ve mobil uygulamalar oluşturmaya ve dağıtmaya yönelik bir uygulama sunucusu ve platformdur.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Yamalamanız gereken CVE, CVSS puanı 10 üzerinden 9,8 olan CVE-2023-26359’dur.
Adobe’ye göre, Adobe ColdFusion’ın 2018 Güncelleme 15 (ve öncesi) ve 2021 Güncelleme 5 (ve öncesi) sürümleri, mevcut kullanıcı bağlamında rastgele kod yürütülmesine neden olabilecek Güvenilmeyen Verilerin Seri Durumundan Çıkarılması güvenlik açığından etkileniyor. Bu sorunun kullanılması kullanıcı etkileşimi gerektirmez.
Güvenilmeyen verilerin seri durumdan çıkarılması, bir uygulamanın bir nesne oluşturmak için veri girişini kullanması durumunda gerçekleşir. Nesneleri iletişim için serileştirmek veya daha sonra kullanmak üzere kaydetmek genellikle uygundur. Ancak güvenilmeyen verilerin iyi biçimlendirilmiş olduğuna güvenilemez. Yeterli koruma olmadığında, seri durumdan çıkarma işlemi sırasında kendi kendini yürütmeyi tetiklemek için bu durum kötüye kullanılabilir. İstismar keyfi kod yürütülmesine yol açabilir.
Adobe, güvenlik açığını düzeltmek için ColdFusion 2021 ve 2018 sürümleri için güvenlik güncellemeleri yayımladı. Bu güvenlik açığını başarılı bir şekilde gidermek için ColdFusion’a yönelik en son güncellemeler özellikle uygulanmalıdır:
- ColdFusion 2021 Güncelleme 6 veya üzeri
- ColdFusion 2018 Güncelleme 16 veya üzeri
Bu güncellemede ele alınan bir diğer kritik güvenlik açığı, mevcut kullanıcı bağlamında rastgele kod yürütülmesine neden olabilecek bir Uygunsuz Erişim Kontrolü güvenlik açığı olan CVE-2023-26360’tır. Bu sorunun kullanılması kullanıcı etkileşimi gerektirmez. Adobe ColdFusion’ın 2018 Güncelleme 15 (ve öncesi) ve 2021 Güncelleme 5 (ve öncesi) sürümlerini etkiler.
Nisan ayında Adobe şunları kaydetti:
“Adobe, CVE-2023-26360’ın Adobe ColdFusion’ı hedef alan çok sınırlı saldırılarda yaygın olarak kullanıldığının farkında.”
Bu nedenle bu güvenlik açığı daha önce Bilinen Yararlanılan Güvenlik Açıkları Kataloğu’na eklenmiştir. Federal sivil yürütme organı kurumları için düzeltme son tarihi 5 Nisan 2023’tü. İkinci bir kritik ve istismar edildiği bilinen bir güvenlik açığıyla bu, henüz yapmadıysanız bu güncellemeyi yüklemeniz için gerçekten bir uyandırma çağrısıdır.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.