CISA, vahşi ortamda kullanılan güvenlik hataları kataloğuna Adobe ColdFusion 2021 ve 2018 sürümlerini etkileyen kritik bir güvenlik açığı ekledi.
Bu kritik rasgele kod yürütme kusuru (CVE-2023-26360), Uygun Olmayan Erişim Denetimi zayıflığından kaynaklanır ve kimliği doğrulanmamış saldırganlar tarafından, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda uzaktan kötüye kullanılabilir.
Adobe, ColdFusion 2018 Güncelleme 16 ve ColdFusion 2021 Güncelleme 6’daki uygulama sunucusu güvenlik açığını ele aldı ve sıfır gün olarak saldırılarda kullanıldığını söyledi.
Şirket bu Salı günü yayınlanan bir güvenlik danışma belgesinde, “Adobe, CVE-2023-26360’ın Adobe ColdFusion’u hedef alan çok sınırlı saldırılarda vahşi ortamda kullanıldığının farkındadır.” dedi.
Kusur, ColdFusion 2016 ve ColdFusion 11 kurulumlarını da etkilerken, Adobe artık desteklenmeyen sürümler için güvenlik güncellemeleri sağlamıyor.
Yöneticilerin güvenlik güncellemelerini mümkün olan en kısa sürede (mümkünse 72 saat içinde) yüklemeleri ve ColdFusion 2018 ve ColdFusion 2021 kilitleme kılavuzlarında belirtilen güvenlik yapılandırma ayarlarını uygulamaları önerilir.
CISA, araştırmacılar tarafından acil olarak etiketlenen güvenlik güncellemeleri
CISA, sistemlerini CVE-2023-26360 istismarlarını kullanarak olası saldırılara karşı güvence altına almaları için tüm ABD Federal Sivil Yürütme Şube Teşkilatlarına (FCEB) 5 Nisan’a kadar üç hafta süre verdi.
CISA’nın emrinin arkasındaki Kasım 2021 bağlayıcı operasyonel yönergesi (BOD 22-01) yalnızca federal kurumlar için geçerli olsa da, tüm kuruluşların ağlarını hedef alabilecek istismar girişimlerini engellemek için sistemlerini yamalamaları şiddetle tavsiye edilir.
CISA, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor” dedi.
Adobe ayrıca ColdFusion 2021 ve 2018 Mart 2023 Güvenlik Güncellemelerini duyuran ayrı bir blog gönderisi yayınlamış olsa da, yama uygulanan güvenlik açıklarının vahşi ortamda da istismar edildiğinden bahsetmedi.
CVE-2023-26360 hatasını keşfedip bildiren iki güvenlik araştırmacısından biri olan Charlie Arehart, Adobe’nin blog gönderisine yaptığı bir yorumda ColdFusion yöneticilerini güvenlik güncellemelerinin gerçek önemi ve bunlara acilen yama yapılması gerektiği konusunda uyardı.
Arehart, “Bu güvenlik düzeltmesi, bu blog yazısının önerdiğinden ve hatta güncelleme teknik notlarının önerdiğinden çok daha önemli,” diye uyardı.
“Açık olmak gerekirse, hem ‘rastgele kod yürütme’ hem de ‘rastgele dosya sistemi okuma’ güvenlik açıklarının birden çok sunucuda işlendiğini şahsen gördüm ve bu çok ciddi.”