Компания Adobe исправила критические уязвимости выполнения кода в ColdFusion, а специалисты Rapid7 предупреждают, что проблемы уже находятся под атаками.
На прошлой неделе Adobe сообщила о проблеме обхода аутентификации в ColdFusion (CVE-2023-29298), обнаруженной специалистами компании Rapid7, а также о pre-auth уязвимости удаленного выполнения кода (CVE-2023-29300), обнаруженной исследователями из CrowdStrike.
Критическая уязвимость CVE-2023-29300 связана с десериализацией (9,8 балла по шкале CVSS) и может использоваться неавторизованными посетителями для удаленного выполнения команд на уязвимых серверах Coldfusion 2018, 2021 и 2023. Хотя на момент публикации патча уязвимость еще не эксплуатировали злоумышленники, 12 июля в блоге Project Discovery была опубликована запись, содержащая эксплоит для CVE-2023-29300. В настоящее время этот пост уже удален.
По словам экспертов Project Discovery, уязвимость связана с небезопасной десериализацией в библиотеке WDDX (WDDX в Adobe ColdFusion 2021 (Update 6).
«Эксплуатируя эту уязвимость, мы смогли добиться удаленного выполнения кода. Проблема связана с небезопасным использованием Java Reflection API», — писали специалисты.
По данным аналитиков Rapid7, Adobe устранила эту уязвимость, добавив список запретов для библиотеки Web Distributed Data eXchange (WDDX), чтобы предотвратить создание вредоносных цепочек гаджетов (gadget chain). Причем исследователи отмечали, что Adobe не может полностью удалить эту функциональность WDDX, «поскольку это привело бы к поломке всего, что нее опирается». Поэтому вместо полного запрета десериализации был использован denylist для путей классов Java, которые не могут быть десериализованы.
Кроме того, 14 июля компания Adobe выпустила внеочередной патч для еще одной уязвимости, CVE-2023-38203, которую так же обнаружили в Project Discovery. По мнению исследователей Rapid7, эта уязвимость помогает эксплуатировать CVE-2023-29300 и добиться удаленного выполнения кода.
К сожалению, невзирая на выход патча, исправление для CVE-2023-29298 по-прежнему можно обойти, поэтому аналитики Rapid7 ожидают, что в ближайшее время должно появиться еще одно исправление от Adobe.
Пока разработчики Adobe рекомендуют администраторам «блокировать» установки ColdFusion для повышения уровня безопасности и более надежной защиты от атак. При этом специалисты Project Discovery предупреждают, что CVE-2023-29300 (и, вероятно, CVE-2023-38203) можно использовать в сочетании с CVE-2023-29298 для обхода такой блокировки.
«Для эксплуатации этой уязвимости, как правило, необходим доступ к действующей конечной точке CFC. Однако если pre-auth доступ к конечным точкам CFC по умолчанию невозможен из-за блокировки ColdFusion, можно объединить эту уязвимость с CVE-2023-29298. Такое сочетание позволяет удаленно выполнить код на уязвимом экземпляре ColdFusion, даже если он находится в режиме блокировки», — рассказывают специалисты.
Хуже того, по данным Rapid7, злоумышленники уже используют цепочки эксплоитов, сочетая использование CVE-2023-29298 с эксплоитом из отчета Project Discovery. Хакеры применяют эти эксплоиты для обхода защиты, установки веб-шеллов на уязвимые серверы ColdFusion и получения удаленного доступа к устройствам. Такие веб-шеллы обычно можно обнаружить в папке: .\ColdFusion11\cfusion\wwwroot\CFIDE\ckeditr.cfm.
Хотя Rapid7 объясняет, что в настоящее время патча для полного исправления CVE-2023-29298 не существует, для эксплуатации проблемы все же требуется вторая уязвимость, такая как CVE-2023-38203. Поэтому установки последней версии ColdFusion, которая исправляет CVE-2023-38203, должно быть достаточно для защиты.
Так как хакеры уже начали свои атаки, администраторам настоятельно рекомендуется как можно скорее обновить ColdFusion до последней версии.