Новости ColdFusion в огне: хакеры миксуют уязвимости, обходят патчи и устанавливают веб-оболочки

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Почему Adobe не может полностью исправить проблему, и что сделать для защиты своих серверов?


1x66tlcflwltlvbthi9d9pcmnogl544t.jpg


Киберпреступники активно эксплуатируют сразу две уязвимости нулевого дня в Adobe ColdFusion , чтобы обойти аутентификацию и удалённо выполнять команды для установки веб-оболочек на уязвимых серверах.

Активная эксплуатация Для просмотра ссылки Войди или Зарегистрируйся исследователями из Rapid7 , которые заметили, что злоумышленники объединяют вместе эксплойты для обхода контроля доступа ( Для просмотра ссылки Войди или Зарегистрируйся ) и критической уязвимости удалённого выполнения кода ( Для просмотра ссылки Войди или Зарегистрируйся ), чтобы сделать свои атаки более эффективными.

11 июля Adobe Для просмотра ссылки Войди или Зарегистрируйся уязвимость обхода аутентификации в ColdFusion с идентификатором CVE-2023-29298, обнаруженную исследователями из Rapid7, а также уязвимость удалённого выполнения кода до аутентификации с идентификатором Для просмотра ссылки Войди или Зарегистрируйся обнаруженную исследователями из CrowdStrike .

CVE-2023-29300 — это уязвимость десериализации, оцененная как критическая с рейтингом серьёзности 9.8, так как она может быть использована неавторизованными злоумышленниками для удалённого выполнения команд на уязвимых серверах Coldfusion 2018, 2021 и 2023 в атаках с низкой сложностью.

Хотя на тот момент данная уязвимость не эксплуатировалась, в блоге Project Discovery 12 июля Для просмотра ссылки Войди или Зарегистрируйся технический пост с PoC -эксплойтом для CVE-2023-29300, однако позже этот пост был удалён.

Исследователи Rapid7 заявляют, что Adobe оперативно исправила эту уязвимость, добавив чёрный список для библиотеки Web Distributed Data eXchange ( WDDX ), чтобы предотвратить создание злонамеренных цепочек гаджетов.

«Вероятно, Adobe не может полностью удалить эту функциональность WDDX, так как это затронуло работу многих элементов, которые на неё полагаются, поэтому вместо запрета десериализации данных WDDX специалисты Adobe реализовали чёрный список путей классов Java , которые не могут быть десериализованы (то есть злоумышленник не может указать гаджет десериализации, расположенный в этих путях классов)», — объяснили специалисты из Rapid7.

14 июля Adobe выпустила внеплановое обновление безопасности для уязвимости CVE-2023-38203. Rapid7 считает, что эта уязвимость обходит исправление для CVE-2023-29300, исследователи даже нашли подходящую цепочку для достижения удалённого выполнения кода. Поэтому медлить с установкой исправления попросту нельзя.

Тем не менее, несмотря на наличие патча от Adobe для CVE-2023-38203, специалисты Rapid7 говорят, что исправление для их уязвимости CVE-2023-29298 всё ещё может быть обойдено, поэтому, вероятно, стоит ожидать ещё одного патча от Adobe в ближайшее время.

Пока Adobe рекомендует администраторам «заблокировать» установки ColdFusion, чтобы повысить безопасность и обеспечить лучшую защиту от атак, специалисты кибербезопасности уверены, что злоумышленники могут эффективно использовать сразу несколько уязвимостей в своих атаках, чтобы обойти исправления Adobe.

«Это сочетание позволяет удалённо выполнять код против уязвимого экземпляра ColdFusion, даже если он настроен в заблокированном режиме», — отметили исследователи Project Discovery в своём удалённом отчёте.

Вчера специалисты Rapid7 заявили в вышеупомянутом отчёте, что они начали фиксировать атакующих, которые объединяют эксплойты для уязвимости CVE-2023-29298 с тем PoC-эксплойтом, который опубликовали эксперты из Project Discovery. Как сообщается, хакеры используют эти эксплойты для обхода безопасности и установки веб-оболочек на уязвимых серверах ColdFusion, чтобы получить удалённый доступ к устройствам.

Хотя в Rapid7 заявили, что в настоящее время нет патча для полного исправления CVE-2023-29298, для корректной работы эксплойта требуется наличие второй уязвимости, такой как CVE-2023-38203. Поэтому установка последней версии ColdFusion предотвратит цепочку эксплуатации, если злоумышленники не придумают какой-то новой обходной уловки.

Из-за реального использования найденных уязвимостей системным администраторам настоятельно рекомендуется обновить серверы ColdFusion до последней версии, чтобы исправить уязвимость и предотвратить злонамеренную эксплуатацию.
 
Источник новости
www.securitylab.ru

Похожие темы