Bilgisayar Korsanları Birden Çok Adobe ColdFusion Güvenlik Açıklarından Aktif Olarak Yararlanıyor

   Temmuz 20, 2023  Posted in GBHackers


11 Temmuz’da Adobe, CVE-2023-29298 de dahil olmak üzere çeşitli ColdFusion güvenlik açıklarını düzeltmek için satıcıyla koordinasyon sağladı.

Ancak bilgisayar korsanlarının aşağıdaki yasa dışı görevleri gerçekleştirmek için aktif olarak kullandıkları iki ColdFusion güvenlik açığı olduğu bildirildi:

  • Kimlik doğrulamayı atla
  • Komutları uzaktan yürütme
  • Güvenlik açığı bulunan sunuculara web kabukları yükleyin

Rapid7, 13 Temmuz’da tehdit aktörlerinin “CVE-2023-29298″den yararlandığı ve ilgili yayınlanmamış bir güvenlik açığının “CVE-2023-38203” olarak izlendiği Adobe ColdFusion istismarını tespit etti.

Aktif sömürü

Project Discovery, yanlışlıkla CVE-2023-29300 olduğuna inandıkları şey için n günlük bir istismarı ifşa etti, ancak Adobe bunu 14 Temmuz’da bant dışı bir güncellemeyle düzeltti.

CVE-2023-29300 yaması, ColdFusion’ın WDDX verilerindeki belirli sınıf seri durumundan kaldırmayı engelleyerek, mevcut bağımlılıkları bozmadan gadget tabanlı saldırıları önler.

Project Discovery yazarları, com.sun.rowset.JdbcRowSetImpl’den yararlanarak, Adobe’nin Reddetme Listesi’nde olmadığı için uzaktan kod yürütmeyi başarabilen işlevsel bir araç belirlediler.

Project Discovery bilmeden yeni bir sıfır gün kusuru buldu ve Adobe’nin 14 Temmuz’da bant dışı bir yama yayınlamasına yol açtı ve sınıf yolunu reddederek istismarı engelledi:

Rapid7, Adobe’nin CVE-2023-29298 yamasını eksik buldu, çünkü değiştirilmiş bir istismar en son ColdFusion sürümünde hala çalışıyor. Azaltma mevcut olmasa da CVE-2023-38203’ü düzelten en yeni sürüme güncelleme, gözlemlenen saldırgan davranışını önleyebilir.

Etkilenen Ürünler

Aşağıda, ColdFusion’ın savunmasız sürümlerinden bahsettik:

  • Adobe ColdFusion 2023 Güncellemesi 1
  • Adobe ColdFusion 2021 Güncelleme 7 ve altı
  • Adobe ColdFusion 2018 Güncellemesi 17 ve altı

ColdFusion’ın yamalı sürümleri

Aşağıda, ColdFusion’ın tüm yamalı sürümlerinden bahsettik:

  • Adobe ColdFusion 2023 Güncellemesi 2
  • Adobe ColdFusion 2021 Güncellemesi 8
  • Adobe ColdFusion 2018 Güncellemesi 18

Ancak yukarıda belirtilen tüm sürümler, CVE-2023-338203’e göre yamalı; hala CVE-2023-29298’e karşı savunmasızdırlar.

Rapid7 araştırmacıları, bu açığı IIS günlüklerinde kullanmak için birkaç POST isteği fark etti. tümü “accessmanager.cfc”ye gönderildi.

POST istekleri (Kaynak: – Rapid7)

Algılama kuralları

Aşağıda, tüm algılama kurallarından bahsettik:

  • web kabuğu
  • Saldırgan Tekniği
  • Saldırgan Aracı
  • Saldırgan Tekniği
  • Güç kalkanı
  • Şüpheli Süreç

Azaltma

Ayrıca siber güvenlik analistleri, tüm Adobe ColdFusion kullanıcılarının sürümlerini derhal en son sürüme güncellemelerini ve ayrıca oastify’ı engellemelerini şiddetle tavsiye ediyor.[.]com etki alanı.

Ayrıca, içindeki serialfilter.txt dosyasını kullanmayı düşünün. Adobe’nin 14 Temmuz tarihli danışma belgesinde tavsiye edildiği gibi seri durumdan çıkarma güvenlik açıklarına sahip paketleri reddetmek için /lib.

IOC’ler

IP adresleri:

  • 62.233.50[.]13
  • 5.182.36[.]4
  • 195.58.48[.]155

Etki alanları:

  • kızdırmak[.]iletişim
  • ckeditr[.]cfm (SHA256 08D2D815FF070B13A9F3B670B2132989C349623DB2DE154CE43989BB4BBB2FB1)



Source link