Uygulama Güvenliği , Yönetim ve Risk Yönetimi , Yeni Nesil Teknolojiler ve Güvenli Geliştirme
ColdFusion Sürümleri 2023, 2021 ve 2018 için Mevcut Önceki Güncellemenin Yeniden Çalışması
Bay Mihir (MihirBagwe) •
20 Temmuz 2023
Adobe, saldırganların güvenlik kontrollerini atlamasına olanak tanıyan ve vahşi ortamda aktif olarak kullanılan ColdFusion sıfır gün güvenlik açığını uygunsuz bir şekilde düzeltmek için yeni bir bant dışı güvenlik güncellemesi yayınladı. Güncelleme, diğer iki kritik güvenlik açığı için düzeltmeler içeriyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
CVSS puanı 7,5 olan ve CVE-2023-38205 olarak izlenen kritik sıfır gün, güvenlik atlamasıyla sonuçlanan uygunsuz erişim denetiminin bir örneğidir. Adobe’nin güvenlik bülteni, “Adobe, CVE-2023-38205’in Adobe ColdFusion’u hedef alan sınırlı saldırılarda vahşi ortamda kullanıldığının farkındadır” diyor.
Sıfır gün, aşağıdaki sürümleri etkiler:
- ColdFusion 2023 – Güncelleme 2 ve önceki sürümler
- ColdFusion 2021 – 8 ve önceki sürümleri güncelleyin
- ColdFusion 2018 – Güncelleme 18 ve önceki sürümler
Eksik Düzeltme
CVE-2023-38205, Rapid7 araştırmacısı Stephen Fewer tarafından 11 Temmuz’da keşfedilen bir ColdFusion kimlik doğrulama baypası olan CVE-2023-29298’in tamamlanmamış düzeltmesi için bir yama baypasıdır.
Saldırganlar, açıktan yararlanmanın ilk bölümünde CVE-2023-29298’den yararlanan bir açıktan yararlanma zinciri kullandı ve ardından cihazlara uzaktan erişim elde etmek için savunmasız ColdFusion sunucularında web kabukları bırakmak ve çalıştırmak için CVE-2023-29300/CVE-2023-38203 güvenlik açıklarını kullandı (bkz:: Güvenlik Uyarısı: Exploit Zinciri Aktif Olarak ColdFusion’a Çarpıyor).
Adobe, bu güvenlik açığını gidermek için bir acil durum yaması yayınladı, ancak Rapid7 araştırmacıları Pazartesi günü düzeltmenin eksik olduğunu belirlediler ve güvenlik blogunda önemsiz bir şekilde değiştirilmiş bir açığın en son sürüme karşı hala çalıştığını söylediler.
Rapid7, Çarşamba günü CVE-2023-29298 için en son yama geçişini test etti ve “yeni yamanın çalıştığını onayladı.”
Güvenlik güncellemesi, CVSS puanı 9,8 olan ve uzaktan kod yürütülmesine yol açabilen kritik bir seri kaldırma güvenlik açığı CVE-2023-38204 ve ayrıca bir güvenlik atlamasına yol açabilen ancak vahşi ortamda istismar edildiği bilinmeyen CVE-2023-38206 olarak izlenen ikinci bir uygunsuz erişim denetimi hatası dahil olmak üzere diğer iki kusuru ele aldı. Ortalama CVSS puanı 5.3 olan orta şiddette bir hatadır.