Adobe, PoC yararlanma kodundaki kritik ColdFusion hatası konusunda uyardı


Adobe

Adobe, kritik bir ColdFusion güvenlik açığını kavram kanıtı (PoC) yararlanma koduyla gidermek için bant dışı güvenlik güncellemeleri yayınladı.

Pazartesi günü yayınlanan bir danışma belgesinde şirket, kusurun (CVE-2024-53961 olarak izlenen) Adobe ColdFusion 2023 ve 2021 sürümlerini etkileyen bir yol geçiş zayıflığından kaynaklandığını ve saldırganların savunmasız sunuculardaki rastgele dosyaları okumasına olanak sağlayabileceğini söyledi.

Adobe bugün yaptığı açıklamada, “Adobe, CVE-2024-53961’in rastgele bir dosya sistemi okumaya neden olabilecek bilinen bir kavram kanıtına sahip olduğunun farkındadır” dedi ve aynı zamanda kusura “Öncelik 1” önem derecesi atadığı konusunda müşterileri uyardı. “belirli bir ürün sürümü ve platform için ortadaki istismar(lar) tarafından hedef alınma riski daha yüksektir.”

Şirket, yöneticilere günümüzün acil durum güvenlik yamalarını (ColdFusion 2021 Güncelleme 18 ve ColdFusion 2023 Güncelleme 12) mümkün olan en kısa sürede, “örneğin 72 saat içinde” yüklemelerini ve ColdFusion 2023 ve ColdFusion 2021 kilitleme kılavuzlarında belirtilen güvenlik yapılandırma ayarlarını uygulamalarını tavsiye ediyor .

Adobe bu güvenlik açığından yararlanılıp yararlanılmadığını henüz açıklamamış olsa da, bugün müşterilerine güvenli olmayan Wddx seri durumdan çıkarma saldırılarını engelleme hakkında daha fazla bilgi için güncellenmiş seri filtre belgelerini incelemelerini tavsiye etti.

CISA’nın mayıs ayında yazılım şirketlerini ürünlerini göndermeden önce yol geçişindeki güvenlik hatalarını ayıklamaya çağırdığında uyardığı gibi, saldırganlar, mevcut hesaplara kaba kuvvet uygulamak ve bir hedefin sistemlerini ihlal etmek için kullanılabilecek kimlik bilgileri de dahil olmak üzere hassas verilere erişmek için bu tür güvenlik açıklarından yararlanabilirler .

CISA, “Dizin geçişi gibi güvenlik açıkları en az 2007’den beri ‘affedilemez’ olarak adlandırılıyor. Bu bulguya rağmen, dizin geçişi güvenlik açıkları (CWE-22 ve CWE-23 gibi) hala yaygın güvenlik açığı sınıflarıdır.” dedi.

Geçen yıl Temmuz 2023’te CISA ayrıca federal kurumlara Adobe ColdFusion sunucularını saldırılarda kullanılan iki kritik güvenlik açığına (CVE-2023-29298 ve CVE-2023-38205) karşı 10 Ağustos’a kadar koruma altına almalarını emretti; bunlardan biri sıfır güvenlik açığıydı. gün.

ABD siber güvenlik kurumu ayrıca bir yıl önce, bilgisayar korsanlarının Haziran 2023’ten bu yana güncelliğini kaybetmiş hükümet sunucularına sızmak için başka bir kritik ColdFusion güvenlik açığını (CVE-2023-26360) kullandığını da ortaya çıkarmıştı. Aynı kusur, “çok sınırlı saldırılarda” aktif olarak sıfır olarak kullanılmıştı. -Mart 2023’ten bu yana geçen gün.



Source link