Η Adobe προειδοποιεί για κρίσιμο σφάλμα ColdFusion με κώδικα εκμετάλλευσης PoC

Η Adobe κυκλοφόρησε ενημερώσεις ασφαλείας εκτός ζώνης για την αντιμετώπιση μιας κρίσιμης ευπάθειας του ColdFusion με κώδικα εκμετάλλευσης απόδειξης της ιδέας (PoC).

Σε μια συμβουλευτική που κυκλοφόρησε τη Δευτέρα, η εταιρεία λέει ότι το ελάττωμα (που παρακολουθείται ως CVE-2024-53961) προκαλείται από διάβαση μονοπατιού αδυναμία που επηρεάζει τις εκδόσεις 2023 και 2021 του Adobe ColdFusion και μπορεί να επιτρέψει στους εισβολείς να διαβάζουν αυθαίρετα αρχεία σε ευάλωτους διακομιστές.

“Η Adobe γνωρίζει ότι το CVE-2024-53961 έχει μια γνωστή απόδειξη της ιδέας που θα μπορούσε να προκαλέσει αυθαίρετη ανάγνωση συστήματος αρχείων,” Adobe είπε σήμεραπροειδοποιώντας επίσης τους πελάτες ότι έδωσε βαθμολογία σοβαρότητας “Προτεραιότητα 1” στο ελάττωμα επειδή έχει “υψηλό κίνδυνο στόχευσης, από εκμεταλλεύσεις στη φύση για μια δεδομένη έκδοση προϊόντος και πλατφόρμα”.

Η εταιρεία συμβουλεύει τους διαχειριστές να εγκαταστήσουν τις σημερινές ενημερώσεις ασφαλείας έκτακτης ανάγκης (ColdFusion 2021 Update 18 και ColdFusion 2023 Update 12) το συντομότερο δυνατό, “για παράδειγμα, εντός 72 ωρών” και να εφαρμόσουν τις ρυθμίσεις διαμόρφωσης ασφαλείας που περιγράφονται στο ColdFusion 2023 και ColdFusion 2021 οδηγούς κλειδώματος.

Ενώ η Adobe δεν έχει ακόμη αποκαλύψει εάν αυτή η ευπάθεια έχει γίνει αντικείμενο εκμετάλλευσης στην άγρια ​​φύση, συμβούλευσε τους πελάτες σήμερα να ελέγξτε την ενημερωμένη τεκμηρίωση του σειριακού φίλτρου για περισσότερες πληροφορίες σχετικά με τον αποκλεισμό μη ασφαλών επιθέσεων αποσειροποίησης Wddx.

Όπως προειδοποίησε η CISA τον Μάιο, όταν προέτρεψε τις εταιρείες λογισμικού να εξαλείψουν τα σφάλματα ασφαλείας διέλευσης μονοπατιών πριν αποστείλουν τα προϊόντα τους, οι εισβολείς μπορούν να εκμεταλλευτούν αυτές τις ευπάθειες για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα, συμπεριλαμβανομένων διαπιστευτηρίων που μπορούν να χρησιμοποιηθούν για να εξαναγκάσουν ήδη υπάρχοντες λογαριασμούς και να παραβιάσουν τα συστήματα ενός στόχου .

“Τα τρωτά σημεία όπως η διέλευση καταλόγου αποκαλούνται “ασυγχώρητα” τουλάχιστον από το 2007. Παρά το εύρημα αυτό, τα τρωτά σημεία διέλευσης καταλόγου (όπως το CWE-22 και το CWE-23) εξακολουθούν να είναι διαδεδομένες κατηγορίες ευπάθειας”, ανέφερε η CISA.

Πέρυσι, τον Ιούλιο του 2023, η CISA διέταξε επίσης τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τους διακομιστές τους Adobe ColdFusion έως τις 10 Αυγούστου έναντι δύο κρίσιμων ελαττωμάτων ασφαλείας (CVE-2023-29298 και CVE-2023-38205) εκμεταλλεύονται σε επιθέσεις, μία από αυτές ως μηδενική ημέρα.

Η αμερικανική υπηρεσία κυβερνοασφάλειας αποκάλυψε επίσης πριν από ένα χρόνο ότι οι χάκερ χρησιμοποιούσαν μια άλλη κρίσιμη ευπάθεια του ColdFusion (CVE-2023-26360) για να παραβιάσουν παρωχμένους κυβερνητικούς διακομιστές από τον Ιούνιο του 2023. Το ίδιο ελάττωμα είχε χρησιμοποιηθεί ενεργά σε “πολύ περιορισμένες επιθέσεις” ως μηδενικό – ημέρα από τον Μάρτιο του 2023.