Adobe ColdFusion platformundaki iki güvenlik açığı, görünüşe göre bunlardan biri için bir kavram kanıtının (PoC) araştırmacılar tarafından yanlışlıkla halka açıklanmasının ardından, bir dizi siber saldırıda tehdit aktörleri tarafından aktif olarak kullanılıyor.
Söz konusu iki güvenlik açığı, bir erişim denetimi atlama kusuru olan CVE-2023-29298 ve bir uzaktan kod yürütme kusuru olan CVE-2023-38203’tür ve birlikte, hizmetteki savunmasız ColdFusion örneklerine web kabukları bırakmak için kullanılıyor gibi görünmektedir. daha fazla saldırı sağlamak için.
Bununla birlikte, güvenlik açıklarını izleyen ve 17 Temmuz Pazartesi günü geç saatlerde kullanılan açıklardan yararlanma zincirinin ayrıntılarını açıklayan yeni kanıtlar yayınlayan Rapid7’den Caitlin Condon’a göre, tam olarak neler olup bittiğine dair bazı kafa karışıklıkları ortaya çıkmış gibi görünüyor.
Sorunun arka planı böylece çalışır. 11 Temmuz Salı günü (Yama Salı), Adobe, ColdFusion’daki CVE-2023-29298, CVE-2023-29300 ve CVE-2023-29301 olmak üzere üç hata için düzeltmeler yayınladı. Bunlardan ilki Adobe’ye Rapid7’den Stephen Fewer tarafından ve ikincisi CrowdStrike’tan Nicolas Zilio tarafından ifşa edilmişti (üçüncüsü bu anlatıyla ilgili değil), ancak 14 Temmuz’da Condon, Rapid7’nin birkaç noktada ColdFusion ortamlarına saldırılar görmeye başladığını söyledi. onun müşterileri. Gözlemlerine göre, söz konusu tehdit aktörü CVE-2023-29298’i ikinci bir güvenlik açığıyla zincirliyor gibi görünüyordu.
Saldırganın sergilediği davranış, Rapid7’nin gözlemcilerine, zincirdeki ikinci güvenlik açığının, Project Discovery’deki araştırmacılar tarafından ifşa edildikten sonra 14 Temmuz Cuma günü sıra dışı bir yamayla Adobe tarafından düzeltilen CVE-2023-38203 olduğunu düşündürdü.
Adobe, yama notlarında CVE-2023-38203 için bir PoC’nin yayınlandığının da farkında olduğunu söyledi. Bu PoC’nin içinde olduğu görülüyor artık kaldırılmış bir 12 Temmuz blog gönderisi Proje Keşif ekibi tarafından. Fakat, bu blog gönderisi, CVE-2023-29300’ün bir analizi olarak faturalandırıldı.
Condon, “Project Discovery’nin 12 Temmuz blog gönderisinde CVE-2023-29300 için N günlük bir açıktan yararlanma yayınladığını düşünmesi büyük olasılıkla,” dedi. “Adobe [had] 11 Temmuz’da keyfi kod yürütülmesine izin veren bir seri hale getirme güvenlik açığı olan CVE-2023-29300 için bir düzeltme yayınladı, [but] gerçekte, Project Discovery’nin detaylandırdığı şey, yeni bir sıfır gün istismar zinciriydi.”
Condon, CVE-2023-29300 yamasının, bazı isteklerin bir parçasını oluşturan Web Dağıtılmış Veri Alışverişi (WDDX) verileri tarafından seri durumundan çıkarılamayan sınıfların bir reddetme listesini uygulayarak sorunu çözdüğünü söyledi. ColdFusion’a – büyük olasılıkla, çünkü WDDX işlevselliğini tamamen kaldırmak birçok şeyi bozacaktır.
Project Discovery’nin, uzaktan kod yürütmeyi başarmak için bir seriden çıkarma “aracı” olarak kullanılabilecek, reddetme listesinde olmayan bir sınıf bulduğunu söyledi – bu baypas, CVE-2023-38203’tür ve böylece CVE-2023- için düzeltmeyi sağlamıştır. 29300 geçersiz ve hükümsüz.
“Project Discovery ekibi muhtemelen keşiflerinin yeni bir sıfır gün güvenlik açığı olduğunu anlamadı ve (varsayıyoruz) Adobe kusuru düzeltirken bloglarını kaldırdı” dedi.
14 Temmuz Adobe yaması, reddetme listesine bir sınıf yolu ekleyerek CVE-2023-38203 tarafından etkinleştirilen açıklardan yararlanma zincirini kırar.
Condon, Rapid7’nin ayrıca CVE-2023-29298 için sağlanan düzeltmenin eksik olduğunu belirlediğini ve önemsiz bir şekilde değiştirilmiş bir açıktan yararlanmanın ColdFusion’ın en güncel sürümlerinde (14 Temmuz yamasının uygulandığı sürüm) hala işe yaradığını sözlerine ekledi.
Rapid7, tamamlanmamış yamayı düzeltmek için Adobe ile diyalog halindedir, ancak neyse ki vahşi ortamda gözlemlenen istismar zinciri, tamamlanması gereken ikinci güvenlik açığına dayandığından, CVE-2023-38203 için 14 Temmuz yamasını uygulamak şimdilik saldırıları hafifletmek için yeterli olacaktır. .
Güvenlik açığı göstergeleri de dahil olmak üzere açıklardan yararlanma zinciri hakkında daha fazla teknik veri, Rapid7 aracılığıyla elde edilebilir.
ColdFusion nedir?
Adobe tarafından “savaşta kanıtlanmış” olarak tanımlanan saygıdeğer ColdFusion ürünü, Joseph ve Jeremy Allaire kardeşler tarafından, 2005 yılında Adobe’nin bir parçası haline gelen, kendi adlarını taşıyan Allaire Corporation’da geliştirilen, 28 yıl öncesine dayanan bir web uygulama sunucusu ve geliştirme platformudur.
Adobe, kendi programlama dili olan ColdFusion İşaretleme Dilini kullanır ve diğer avantajların yanı sıra Adobe, platformun genel geliştirici verimliliğini ve üretkenliğini geliştirdiğini, yeni uygulamaları kodlamak için güvenli bir ortam sağladığını ve uygulamaların en uygun bulut platformunda devreye alınmasını sağladığını söyledi. kod yeniden yazma ihtiyacı.
Firma, yaşına rağmen ColdFusion’ın Fortune 500 kuruluşlarının yaklaşık %60’ında kullanılmaya devam ettiğini söyledi.