Yönetişim ve Risk Yönetimi , Yama Yönetimi
Uzmanlar, Uzlaşma Belirtileri Karşısında Sunucuların Derhal Yama Yapılmasını ve İncelenmesini İstiyor
Mathew J. Schwartz (euroinfosec) •
22 Mart 2023
Bilgisayar korsanları, uzaktan kod yürütmek ve sunucuları tehlikeye atmak için Adobe ColdFusion’daki güvenlik açıklarını aktif olarak hedefliyor ve önde gelen uzmanlar, kullanıcıları derhal yamalı sürümlere güncellemeye teşvik ediyor.
Ayrıca bakınız: Risk Yönetimi Stratejisi Olarak Yama Yönetimi
Güvenlik firması Rapid7, en azından Ocak ayı başından kalma ve birden çok kuruluşun ColdFusion kurulumlarını tehlikeye atan bir saldırı kampanyası tespit ettiği konusunda uyarıyor. Bu saldırıları herhangi bir belirli güvenlik açığına kesin olarak bağlayamadı, yani sıfır gün kusurlarının bir rol oynayıp oynamadığı net değil.
Adobe, 14 Mart’ta ColdFusion 2018 ve ColdFusion 2021 için uzaktan kod yürütme kusuru için bir düzeltme içeren yamalar yayınladı. Adobe’nin güvenlik uyarısı, CVE-2023-26360 olarak belirlenen güvenlik açığının “Adobe ColdFusion’u hedef alan çok sınırlı saldırılarda vahşi ortamda istismar edildiğini” söylüyor.
Adobe, güvenlik açığını gidermek için tüm kullanıcılara ColdFusion 2018 güncelleme 16’yı veya ColdFusion 2021 güncelleme 6’yı yüklemelerini önerir. Bu güncellemeler ayrıca iki ek kusuru da düzeltir: CVE-2023-26359 olarak adlandırılan güvenilmeyen verilerin seri durumdan çıkarılması yoluyla uzaktan kod yürütülmesine izin verdiği anlamına gelen kritik bir güvenlik açığı ve “önemli” olarak derecelendirilen CVE-2023-26361 olarak adlandırılan bir yol geçiş kusuru ,” kendi başına daha az riskli olduğu, ancak diğer saldırılarla birlikte zincirlenebileceği anlamına gelir.
Rapid7, bir blog yazısında, her iki ColdFusion sürümünün en son sürümlerinde yamalanan “birkaç CVE’nin” “vahşi ortamda istismar edildiğinin bilindiğini” söylüyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, 15 Mart’ta CVE-2023-26360’ı Bilinen Yararlanılan Güvenlik Açıkları Kataloğu’na ekledi ve uzaktan kod yürütmeyi kolaylaştıran kusurların “kötü niyetli siber aktörler için sık sık saldırı vektörleri olduğunu ve federal kuruluş için önemli riskler oluşturduğunu” söyledi.
CISA, federal sivil kurumlara ColdFusion’ın savunmasız sürümlerini düzeltmeleri için 5 Nisan’a kadar süre verdi. Yalnızca bu kurumların yasal olarak uyması gerekmesine rağmen, CISA “tüm kuruluşları, güvenlik açığı yönetimi uygulamalarının bir parçası olarak katalog güvenlik açıklarının zamanında düzeltilmesine öncelik vererek siber saldırılara maruz kalma oranlarını azaltmaya şiddetle teşvik ediyor.”
Saldırganlar Web Kabukları Düşürür
Rapid7, bu yılın başında başladığını söylediği ColdFusion’dan yararlanan saldırı kampanyasında, saldırganların güvenliği ihlal edilmiş bir web sitesi kullandığını gördüğünü söylüyor. ooshirts.com, PowerShell komutları aracılığıyla ColdFusion çalıştıran sunucuların güvenliğini aşmak ve ardından ek kötü amaçlı kod indirip yürütmek için tasarlanmış web kabuklarını (kötü amaçlı komut dosyaları) bırakmak için. Rapid7, gözlemlediği saldırılarda “işlem başlatma verileri, ColdFusion 2018’in kötü amaçlı komutlar ürettiğini gösteriyor” diyor.
Şirket, saldırılara bağlı uzlaşma göstergeleri yayınladı. Saldırıları herhangi bir kişi veya grupla ilişkilendirmemiş olsa da, ooshirts.com site ilk olarak geçen Mart ayında kötü amaçlı saldırılarda kullanıldı.
Rapid7, saldırganların şu anda hangi ColdFusion açıklarını hedef alıyor olabileceğinden bağımsız olarak, “ColdFusion müşterilerine bilinen riskleri gidermek için en son sürüme güncelleme yapmalarını şiddetle tavsiye ediyoruz” diyor. “Ayrıca müşterilere, uzlaşma belirtileri için ortamlarını incelemelerini tavsiye ediyoruz.”
Eski Okul Web Soyağacı
İlk olarak yaklaşık 30 yıl önce 1995 yılında Allaire tarafından piyasaya sürüldüğü göz önüne alındığında, bazı insanlar için ColdFusion geçmişten gelen bir patlama gibi gelebilir. 2005 yılında Adobe tarafından satın alınan Macromedia tarafından 2001 yılında satın alındı.
Adobe ColdFusion 11’in 2014’te piyasaya sürülmesinden sonra Adobe, yazılımın yeni sürümlerini çıkış yılı olarak adlandırmaya başladı: 2016, 2018, 2021.
Hızlı web uygulama geliştirme platformu yaygın olarak kullanılmaya devam ediyor ve Adobe, ColdFusion 2023’ü hazırlıyor. Yazılımın standart, kurumsal, geliştirici ve Docker sürümleri bulunuyor.
Web teknolojisi pazar araştırmacısı W3Techs’e göre, sunucu tarafı programlama dilinin onları oluşturmak için kullandığı halka açık web sitelerinin yalnızca %0,3’ü ColdFusion kullanıyor.
ColdFusion kullanılarak oluşturulan siteleri çalıştıran kuruluşlar arasında teknoloji devleri Oracle ve Verisign; ABD Gıda ve İlaç Dairesi ve Çevre Koruma Dairesi; Cornell Üniversitesi ve Kaliforniya Üniversitesi, Irvine; ve Financial Times ve Scientific American yayınları.
Güvenlik açısından, herhangi bir yazılımda olduğu gibi, tüm ColdFusion kullanıcıları kurulumlarını güncel tutmaz.
Güvenlik firması Sophos, saldırganların 2009 ve 2010’da yamalanmış, herkes tarafından bilinen iki ColdFusion güvenlik açığından yararlanmasıyla başladığını söylediği bir kuruluşta gerçekleşen bir fidye yazılımı saldırısına ilişkin 2021 soruşturmasını ayrıntılı olarak açıkladı. Kuruluşun hâlâ Adobe ColdFusion 9 yazılımını çalıştırdığını söyledi. o zaman, Microsoft’un Ocak 2020’de ömrünü tamamlamış olarak sınıflandırdığı Windows Server 2008 işletim sistemini çalıştıran bir sunucuda 11 yaşındaydı ve tamamen desteklenmiyordu.