Rapid7 araştırmacılarına göre saldırganlar, kalıcı erişim sağlamak ve sistemin uzaktan kontrol edilmesini sağlamak için sunucuları ihlal etmek ve web kabukları yüklemek için iki Adobe ColdFusion güvenlik açığından (CVE-2023-29298, CVE-2023-38203) yararlanıyor.
Eksik düzeltmelerle kusurlar
11 Temmuz 2023’te Adobe, ColdFusion 2023, 2021 ve 2018 sürümleri için üç güvenlik açığı için düzeltmeler içeren güvenlik güncellemeleri yayınladı:
- CVE-2023-29298, saldırganların bir güvenlik özelliğini atlamasına izin verebilecek kritik bir uygunsuz erişim kontrolü kusuru (Rapid7’den Stephen Fewer tarafından bildirildi)
- CVE-2023-29300, keyfi kod yürütme için kullanılabilecek güvenilmeyen verilerin serisini kaldırma (Crowdstrike’tan Nicolas Zilio tarafından bildirildi)
- CVE-2023-29301, başka bir güvenlik özelliği atlama güvenlik açığı (Brian Reilly tarafından bildirildi)
O zamanlar, herhangi birinin vahşi doğada istismar edildiğine dair hiçbir gösterge yoktu. Rapid7’den Caitlin Condon’a göre, şirketin yönetilen hizmetler ekipleri birden fazla müşteri ortamında Adobe ColdFusion’un kötüye kullanıldığını gözlemlemeye başladığında, 13 Temmuz’da her şey değişti.
“Mevcut kanıtlara göre, tehdit aktörleri ikincil bir güvenlik açığıyla birlikte CVE-2023-29298’den yararlanıyor gibi görünüyor. Ekiplerimizin gözlemlediği davranış, yayınlanan ve ardından 12 Temmuz civarında Project Discovery tarafından yayından kaldırılan CVE-2023-38203 ile tutarlı görünüyor.”
“Project Discovery’nin CVE-2023-29300 için n günlük bir açıktan yararlanma yayınladığını düşünmesi büyük olasılıkla. Gerçekte, Project Discovery’nin detaylandırdığı şey, Adobe’nin 14 Temmuz’da bant dışı bir güncellemeyle düzelttiği yeni bir sıfır gün istismar zinciriydi.
Teknik olarak, CVE-2023-29300 yaması eksikti: Adobe, Web Dağıtılmış Veri Alışverişi verilerinin seri durumundan çıkarılmasını yasakladı, ancak Java sınıfı yollarının tamamlanmamış bir reddetme listesi kullandı ve Project Discovery araştırmacıları, yararlanılabilir bir yol buldu.
Condon, “Project Discovery ekibi muhtemelen keşiflerinin yeni bir sıfır gün güvenlik açığı olduğunu fark etmemişti ve (bizce) bloglarını kapatırken Adobe kusuru düzeltti,” dedi Condon.
Kurumsal yöneticiler ne yapabilir?
Açıkçası, saldırganlar CVE-2023-38203 için yayınlanan açığı ele geçirdi ve kullandı, onu CVE-2023-29298 için bir açıktan yararlanma ile birleştirdi ve yama uygulanmamış sunucuları aramaya başladı.
Daha da kötüsü, Rapid7 Pazartesi günü CVE-2023-29298 düzeltmesinin de eksik olduğunu ve ColdFusion’ın en son sürümünde (14 Temmuz’da yayınlanan) “önemsiz ölçüde değiştirilmiş bir istismarın” hala çalıştığını keşfetti.
“Şu anda CVE-2023-29298 için bir hafifletme yok, ancak Rapid7’nin vahşi doğada gözlemlediği açıklardan yararlanma zinciri, hedef sistemlerde tam yürütme için ikincil bir güvenlik açığına dayanıyor. Bu nedenle, CVE-2023-38203’ü düzelten mevcut en son ColdFusion sürümüne güncelleme yapılması, MDR ekibimizin gözlemlediği saldırgan davranışını yine de önlemelidir,” diye sözlerini sonlandırdı Condon ve IoC’leri ve saldırganların davranışlarıyla ilgili ayrıntıları paylaştı.
Adobe’nin önümüzdeki günlerde CVE-2023-29298 için tam bir düzeltme sunması muhtemeldir, bu nedenle yöneticilerin buna göz kulak olmaları ve hızlı bir şekilde uygulamaları önerilir.