17.07.2023 Güncellemesi: Makale, Adobe tarafından e-posta bildirimine yanlışlıkla eklenen bir uyarı nedeniyle güncellendi. Ancak, Rapid7 tarafından hatanın daha yeni bir sürümünün aktif olarak kullanıldığı görüldü.
Bilgisayar korsanları, kimlik doğrulamasını atlamak ve güvenlik açığı bulunan sunuculara web kabukları yüklemek için komutları uzaktan yürütmek için iki ColdFusion güvenlik açığından aktif olarak yararlanıyor.
Aktif istismar, Rapid7’deki araştırmacılar tarafından görüldü.
Yamaları atlamak
11 Temmuz’da Adobe, Rapid7 araştırmacısı Stephen Fewer tarafından keşfedilen CVE-2023-29298 olarak izlenen bir ColdFusion kimlik doğrulama bypass’ını ve CrowdStrike araştırmacısı Nicolas Zilio tarafından keşfedilen CVE-2023-29300 olarak izlenen bir kimlik doğrulama öncesi RCE güvenlik açığını açıkladı.
CVE-2023-29300, kimliği doğrulanmamış ziyaretçiler tarafından savunmasız Coldfusion 2018, 2021 ve 2023 sunucularında düşük karmaşıklıktaki saldırılarda uzaktan komut yürütmek için kullanılabileceğinden, 9,8 önem derecesiyle kritik olarak derecelendirilen bir seri kaldırma güvenlik açığıdır.
O sırada güvenlik açığından yararlanılmasa da, Project Discovery tarafından yakın zamanda kaldırılan ve CVE-2023-29300 için bir kavram kanıtlama açığı içeren bir teknik blog gönderisi 12 Temmuz’da yayınlandı.
Project Discovery’nin artık kaldırılan blog gönderisine göre, güvenlik açığı WDDX kitaplığındaki güvenli olmayan serileştirmeden kaynaklanıyor.
Project Discovery blog gönderisinde “Sonuç olarak, analizimiz Adobe ColdFusion 2021’deki (Güncelleme 6) WDDX serisini kaldırma sürecinde önemli bir güvenlik açığı ortaya çıkardı.”
“Bu güvenlik açığından yararlanarak, uzaktan kod yürütmeyi başardık. Sorun, belirli yöntemlerin çalıştırılmasına izin veren Java Reflection API’nin güvenli olmayan kullanımından kaynaklandı.”
Rapid7, Adobe’nin kötü amaçlı araç zincirlerinin oluşturulmasını önlemek için Web Dağıtılmış Veri Alışverişi (WDDX) kitaplığı için bir reddetme listesi ekleyerek bu güvenlik açığını giderdiğini söylüyor.
“Adobe, bu WDDX işlevini tamamen kaldıramaz, çünkü bu, ona bağlı olan her şeyi bozacaktır, bu nedenle WDDX verilerinin seri durumundan çıkarılmasını yasaklamak yerine, seri durumundan çıkarılamayan Java sınıfı yollarının bir reddetme listesi uyguluyorlar (böylece bir saldırgan Rapid7 tarafından hazırlanan bir raporda, bu sınıf yollarında bulunan bir seri durumdan çıkarma aracını belirtin)” açıklanmaktadır.
14 Temmuz’da Adobe, Project Discovery’nin keşfettiği CVE-2023-38203 için bir bant dışı güvenlik güncellemesi yayınladı.
Rapid7, bu güvenlik açığının CVE-2023-29300 kusurunu atladığına inanıyor ve araştırmacılar uzaktan kod yürütmeyi başarmak için kullanılabilir bir aygıt zinciri buluyor.
Adobe’nin OOB güvenlik güncellemesi, ‘com.sun.rowset. Project Discover’ın PoC istismarında kullanılan sınıf olan JdbcRowSetImpl’ sınıfı.
Ne yazık ki, bu güvenlik açığı düzeltilmiş gibi görünse de, Rapid7 bugün CVE-2023-29298 kusuru için düzeltmenin hala atlanabileceğini keşfettiklerini söylüyor, bu nedenle yakında Adobe tarafından başka bir yama beklemeliyiz.
Saldırılarda istismar edildi
Adobe, güvenliği artırmak ve saldırılara karşı daha iyi savunma sunmak için yöneticilerin ColdFusion kurulumlarını ‘kilitlemesini’ önerir.
Ancak Project Discovery araştırmacıları, CVE-2023-29300’ün (ve muhtemelen CVE-2023-38203’ün), kilitleme modunu atlamak için CVE-2023-29298 ile zincirlenebileceği konusunda uyardı.
“Bu güvenlik açığından yararlanmak için genellikle geçerli bir CFC uç noktasına erişim gerekir. Ancak, varsayılan ön kimlik doğrulama CFC uç noktalarına ColdFusion kilitleme modu nedeniyle doğrudan erişilemiyorsa, bu güvenlik açığını CVE-2023-29298 ile birleştirmek mümkündür. ,”, Project Discovery’nin teknik yazısını sonlandırıyor.
“Bu kombinasyon, kilitli modda yapılandırılmış olsa bile savunmasız bir ColdFusion örneğine karşı uzaktan kod yürütülmesine olanak tanır.”
Bugün Rapid7, saldırganların CVE-2023-29298 kusuru için zincirleme açıkları görmeye başladıklarını ve teknik yazının yayınlanmasından bir gün sonra, 13 Temmuz’da Project Discovery’nin yazısında gösterilen istismarın ne olduğunu görmeye başladıklarını söylüyor.
Saldırganlar, bu açıklardan yararlanarak güvenliği atlar ve savunmasız ColdFusion sunucularına web kabukları yükleyerek cihazlara uzaktan erişim elde eder.
Bu web kabukları aşağıdaki klasörde görülmüştür:
.\ColdFusion11\cfusion\wwwroot\CFIDE\ckeditr.cfm
Rapid7, şu anda CVE-2023-29298’i tam olarak düzeltecek bir yama olmadığını söylese de, istismar için CVE-2023-38203 gibi ikinci bir güvenlik açığı gerekiyor. Bu nedenle, en son ColdFusion sürümünü yüklemek, açıklardan yararlanma zincirini önleyecektir.
Rapid7, “Bu nedenle, CVE-2023-38203’ü düzelten en son ColdFusion sürümüne güncelleme yapılması, MDR ekibimizin gözlemlediği saldırgan davranışını yine de önlemelidir.”
Saldırılarda kötüye kullanılması nedeniyle, yöneticilerin kusuru mümkün olan en kısa sürede yamalamak için ColdFusion’ı en son sürüme yükseltmeleri şiddetle tavsiye edilir.
17/7/23: Rapid7 ve Adobe’nin yanlışlıkla CVE-2023-29300’den yararlanıldığı konusunda uyardıklarını belirten bilgilerle makale güncellendi.