Adobe, CVE-2023-29300 olarak izlenen kritik bir ColdFusion ön kimlik doğrulama uzaktan kod yürütme güvenlik açığının saldırılarda aktif olarak kullanıldığı konusunda uyarıda bulunur.
Adobe, keşfi CrowdStrike araştırmacısı Nicolas Zilio’ya atfederek güvenlik açığını 11 Temmuz’da açıkladı.
CVE-2023-29300, kimliği doğrulanmamış ziyaretçiler tarafından savunmasız Coldfusion 2018, 2021 ve 2023 sunucularında düşük karmaşıklıktaki saldırılarda uzaktan komut yürütmek için kullanılabileceğinden, 9,8 önem derecesi ile kritik olarak derecelendirilmiştir.
İlk açıklandığında, güvenlik açığı vahşi ortamda kullanılmamıştı. Bununla birlikte, benzer bir CVE-2023-38203 RCE kusuru için e-posta bildiriminin bir parçası olarak Adobe, CVE-2023-29300’ün saldırılarda kullanıldığının görüldüğünü de açıkladı.
BleepingComputer tarafından görülen bir e-posta bildiriminde “Adobe, CVE-2023-29300’ün Adobe ColdFusion’u hedef alan çok sınırlı saldırılarda vahşi ortamda istismar edildiğinin farkındadır” yazıyor.
Güvenlik açığından nasıl yararlanıldığına ilişkin ayrıntılar şu anda bilinmemekle birlikte, geçtiğimiz hafta Project Discovery tarafından kaldırılan ve CVE-2023-29300 için bir kavram kanıtlama açığı içeren bir teknik blog yazısı yayınlandı.
Project Discovery’nin artık kaldırılan blog gönderisine göre, güvenlik açığı WDDX kitaplığındaki güvenli olmayan serileştirmeden kaynaklanıyor.
Project Discovery blog gönderisinde “Sonuç olarak, analizimiz Adobe ColdFusion 2021’deki (Güncelleme 6) WDDX serisini kaldırma sürecinde önemli bir güvenlik açığı ortaya çıkardı.”
“Bu güvenlik açığından yararlanarak, uzaktan kod yürütmeyi başardık. Sorun, belirli yöntemlerin çalıştırılmasına izin veren Java Reflection API’nin güvenli olmayan kullanımından kaynaklandı.”
Adobe, güvenliği artırmak ve saldırılara karşı daha iyi savunma sunmak için yöneticilerin ColdFusion kurulumlarını ‘kilitlemelerini’ önerirken, araştırmacılar kilitleme modunu atlamak için CVE-2023-29300’ün CVE-2023-29298 ile zincirlenebileceği konusunda uyardı.
“Bu güvenlik açığından yararlanmak için genellikle geçerli bir CFC uç noktasına erişim gerekir. Ancak, varsayılan ön kimlik doğrulama CFC uç noktalarına ColdFusion kilitleme modu nedeniyle doğrudan erişilemiyorsa, bu güvenlik açığını CVE-2023-29298 ile birleştirmek mümkündür. ,”, Project Discovery’nin teknik yazısını sonlandırıyor.
“Bu kombinasyon, kilitli modda yapılandırılmış olsa bile savunmasız bir ColdFusion örneğine karşı uzaktan kod yürütülmesine olanak tanır.”
Saldırılarda kötüye kullanılması nedeniyle, yöneticilerin kusuru mümkün olan en kısa sürede yamalamak için ColdFusion’ı en son sürüme yükseltmeleri şiddetle tavsiye edilir.
BleepingComputer, aktif istismar hakkında daha fazla bilgi edinmek için hafta sonu CrowdStrike ile iletişime geçti, ancak Adobe’ye yönlendirildi. Adobe henüz e-postalarımıza yanıt vermedi.
Adobe, bu yazının yazıldığı tarihte e-postalarımıza yanıt vermemiştir.