Uç Nokta Güvenliği , Yönetişim ve Risk Yönetimi , Yama Yönetimi
Saldırganlar Web Kabuğu Bırakır; Kusur Giderilmezken Son Yama Koruma Sağlıyor
Mathew J. Schwartz (euroinfosec) •
18 Temmuz 2023
Uyarı: Araştırmacılar, bilgisayar korsanlarının kötü amaçlı kod yürütmek için Adobe’nin ColdFusion hızlı web uygulaması geliştirme platformundaki bir kusurdan aktif olarak yararlandığı konusunda uyarıyor. Adobe kusuru düzeltmeye çalışırken, saldırganlar güvenlik açığından yararlanmaya devam etmek için birden çok kusuru bir araya getirmenin bir yolunu bulmuş gibi görünüyor.
Ayrıca bakınız: Yedi Olması Gereken Uç Nokta Yönetim Yeteneği
Güvenlik firması Rapid7, saldırganların ColdFusion’daki güvenlik kontrollerini atlayarak bir web kabuğu oluşturmasına olanak tanıyan bu güvenlik açıkları zincirinden yararlanan çok sayıda saldırgan vakası görüldüğü konusunda uyarıda bulunuyor.
CVE-2023-29298 olarak adlandırılan hedeflenen güvenlik açıklarından biri, saldırganlar tarafından hedeflenen bir sistemde rasgele kod çalıştırmak için kullanılabileceği anlamına gelen kritik bir kusurdur. National Vulnerability Database’e göre, “Bir saldırgan, geliştiricilerin oluşturdukları web sayfalarında nesne yönelimli programlama tekniklerini kullanmalarına izin veren iki farklı türde ColdFusion bileşenine atıfta bulunarak, yönetimin CFM ve CFC uç noktalarına erişmek için bu güvenlik açığından yararlanabilir.” “Bu sorunun istismarı, kullanıcı etkileşimi gerektirmez.”
Adobe, görünüşte kusuru 11 Temmuz’da ColdFusion 2018, 2021 ve 2023 sürümleri için bir dizi güncelleme aracılığıyla yamaladı.
Aynı yamalar, CVE-2023-29301 olarak adlandırılan, aşırı kimlik doğrulama girişimlerinin uygunsuz şekilde kısıtlanmasına izin veren “önemli” bir kusuru ve CVE-2023-29300 olarak adlandırılan, güvenilmeyen veri kusurunun kritik bir seri hale getirilmesini düzeltmeye çalıştı.
Rapid7’nin yönetilen algılama ve yanıt ekibi, izlediği vahşi saldırılara dayanarak, Adobe’nin CVE-2023-29298 yamasının, güvenlik açığından seri kaldırma gibi görünen ikinci bir güvenlik açığıyla birlikte yararlanılmasını engelleyemediğini söylüyor. CVE-2023-38203 olarak adlandırılan güvenilmeyen veri hatası. Adobe, Cuma günü yayınlanan bant dışı ColdFusion güncellemeleri aracılığıyla bu hatayı düzeltti.
CVE-2023-38203’ten nasıl yararlanılacağına ilişkin ayrıntılar, açık kaynaklı siber güvenlik firması Project Discovery’de güvenlik araştırmacısı Harsh Jaiswal tarafından yayınlanan ve CVE-2023-29300 kusurunu Adobe’ye bildiren, artık silinmiş bir blog gönderisinde yer alıyor gibi görünüyor.
Project Discovery, blogunu Çarşamba günü, Adobe’nin CVE-2023-29300’ün istismar edilmesini önlemek için tasarlanmış bir yama yayınlamasından bir gün sonra yayınladı. Aktif olarak yararlanılan bir güvenlik açığının ayrıntıları bilinmemekle birlikte, bu tür saldırılar sıfır gün açıkları olarak tanımlanır. Bir güvenlik açığının ayrıntıları bilindiğinde, araştırmacılar bu tür saldırıları n günlük bir açıktan yararlanma olarak adlandırır.
Bu Adobe Coldfusion RCE’de birlikte çalıştı @iamnoooob. Java kod tabanlarına dalmak her zaman bize çok fazla öğrenme sağlar. https://t.co/k46ztAoReB— Sert Jaiswal (@rootxharsh) 13 Temmuz 2023
Rapid7, Proje Keşfi ekibinin – ve muhtemelen Adobe’nin – blog gönderilerinde detaylandırdıkları şeyin sıfırıncı gün açığı olduğunun farkında olmadığını söylüyor.
Rapid7, “Project Discovery’nin 12 Temmuz blog gönderisinde CVE-2023-29300 için n günlük bir açıktan yararlanma yayınladığını düşünmesi büyük olasılıkla” diyor. “Adobe, 11 Temmuz’da rasgele kod yürütülmesine izin veren bir seri durumdan çıkarma güvenlik açığı olan CVE-2023-29300 için bir düzeltme yayınladı. Gerçekte, Project Discovery’nin ayrıntılı olarak açıkladığı şey, yeni bir sıfır gün istismar zinciriydi.”
Adobe, 14 Temmuz’da bir ColdFusion güncellemesinde bu sıfır günlük açıklardan yararlanma zincirini düzeltmeye çalıştı.
Rapid7, Adobe’nin CVE-2023-29298’e yönelik güncellemesinin sorunu çözmediğini ve “önemsiz ölçüde değiştirilmiş bir açıktan yararlanmanın, ColdFusion’ın 14 Temmuz’da yayınlanan en son sürümüne karşı hala çalıştığını” söylüyor. Bununla birlikte, 14 Temmuz yaması açıklardan yararlanma zincirinin ikinci bölümünü – CVE-2023-29300 – engelliyor gibi görünüyor. Bu nedenle, tüm ColdFusion kullanıcılarının, Adobe daha fazla düzeltme yayınlayana kadar korunmalarını sağlamak için hemen 14 Temmuz sürümünü yüklemelerini tavsiye ediyorlar.
Rapid7, “Şu anda CVE-2023-29298 için bir hafifletme yok, ancak Rapid7’nin vahşi doğada gözlemlediği istismar zinciri, hedef sistemlerde tam yürütme için ikincil bir güvenlik açığına dayanıyor” diyor. “Bu nedenle, CVE-2023-38203’ü düzelten en son ColdFusion sürümüne güncelleme yapılması, MDR ekibimizin gözlemlediği saldırgan davranışını yine de önlemelidir.”