Обновление от 17.07.23. Статья была обновлена из-за ошибочного предупреждения, добавленного Adobe в уведомление по электронной почте. Однако Rapid7 заметил, что более новая версия ошибки активно эксплуатируется.
Хакеры активно используют две уязвимости ColdFusion для обхода аутентификации и удаленного выполнения команд для установки веб-шеллов на уязвимые серверы.
Активное использование было замечено исследователями Rapid7, которые говорят, что злоумышленники объединяют эксплойты для уязвимости обхода контроля доступа (CVE-2023-29298) и, как представляется, CVE-2023-38203, критической уязвимости удаленного выполнения кода.
Обход патчей
11 июля, Adobe раскрыла обход аутентификации ColdFusion, отслеживаемый как CVE-2023-29298, обнаруженный исследователями Rapid7 Стивеном Фьюэром, и уязвимость RCE до аутентификации, отслеживаемая как CVE-2023-29300обнаруженный исследователем CrowdStrike Николасом Зилио.
CVE-2023-29300 — это уязвимость десериализации, оцененная как критическая с рейтингом серьезности 9,8, поскольку она может использоваться неавторизованными посетителями для удаленного выполнения команд на уязвимых серверах Coldfusion 2018, 2021 и 2023 в атаках низкой сложности.
Хотя тогда уязвимость не использовалась, 12 июля был опубликован недавно удаленный технический пост в блоге Project Discovery, содержащий экспериментальный эксплойт для CVE-2023-29300.
Согласно уже удаленному сообщению в блоге Project Discovery, уязвимость связана с небезопасной десериализацией в библиотеке WDDX.
«В заключение наш анализ выявил значительную уязвимость в процессе десериализации WDDX в Adobe ColdFusion 2021 (обновление 6)», — говорится в сообщении в блоге Project Discovery.
«Используя эту уязвимость, мы смогли добиться удаленного выполнения кода. Проблема возникла из-за небезопасного использования Java Reflection API, позволявшего вызывать определенные методы».
Rapid7 сообщает, что Adobe исправила эту уязвимость, добавив список запрещенных для библиотеки Web Distributed Data eXchange (WDDX), чтобы предотвратить создание цепочек вредоносных гаджетов.
«Adobe, вероятно, не сможет полностью удалить эту функциональность WDDX, так как это нарушит все, что от нее зависит, поэтому вместо запрета десериализации данных WDDX они реализуют запрещенный список путей к классам Java, которые не могут быть десериализованы (так что злоумышленник не может укажите гаджет десериализации, расположенный в этих путях к классам)», — объясняет отчет Рапид7.
14 июля Adobe выпустила внеочередное обновление безопасности для CVE-2023-38203который обнаружил Project Discovery.
Rapid7 считает, что эта уязвимость позволяет обойти уязвимость CVE-2023-29300, и исследователи нашли цепочку гаджетов, которую можно использовать для удаленного выполнения кода.
Обновление безопасности Adobe OOB еще раз обновляет список запрещенных, чтобы предотвратить доступ гаджета через «com.sun.rowset. JdbcRowSetImpl», который использовался в PoC-эксплоите Project Discover.
К сожалению, несмотря на то, что эта уязвимость кажется исправленной, Rapid7 сообщает, что сегодня они обнаружили, что исправление их уязвимости CVE-2023-29298 все еще можно обойти, поэтому в ближайшее время следует ожидать еще один патч от Adobe.
Использовался в атаках
Adobe рекомендует администраторам карантин‘ Установки ColdFusion для повышения безопасности и лучшей защиты от атак.
Однако исследователи Project Discovery предупредили, что CVE-2023-29300 (и, вероятно, CVE-2023-38203) могут быть связаны с CVE-2023-29298 для обхода режима блокировки.
«Для использования этой уязвимости, как правило, необходим доступ к действующей конечной точке CFC. Однако, если доступ к конечным точкам CFC до аутентификации по умолчанию невозможен из-за режима блокировки ColdFusion, эту уязвимость можно объединить с CVE-2023-29298. », — заключает технический отчет Project Discovery.
«Эта комбинация позволяет удаленно выполнять код на уязвимом экземпляре ColdFusion, даже если он настроен в заблокированном режиме».
Сегодня Rapid7 сообщает, что они начали наблюдать атакующих, использующих уязвимость CVE-2023-29298, и то, что, по-видимому, является эксплойтом, продемонстрированным в отчете Project Discovery 13 июля, на следующий день после публикации технического обзора.
Злоумышленники используют эти эксплойты для обхода системы безопасности и установки веб-оболочек на уязвимые серверы ColdFusion для получения удаленного доступа к устройствам.
Эти веб-оболочки были замечены в следующей папке:
.ColdFusion11cfusionwwwrootCFIDEckeditr.cfm
Хотя Rapid7 говорит, что в настоящее время нет патча для полного исправления CVE-2023-29298, для эксплойта требуется вторая уязвимость, такая как CVE-2023-38203. Поэтому установка последней версии ColdFusion предотвратит цепочку эксплойтов.
«Поэтому обновление до последней доступной версии ColdFusion, которая исправляет CVE-2023-38203, должно по-прежнему предотвращать поведение злоумышленника, которое наблюдает наша команда MDR», — советует Rapid7.
Из-за его использования в атаках администраторам настоятельно рекомендуется обновить ColdFusion до последней версии, чтобы исправить уязвимость как можно скорее.
17.07.23: Статья дополнена информацией от Rapid7 и Adobe о том, что они ошибочно предупредили об использовании CVE-2023-29300.
2023-07-17 22:53:53
1689638675
#Критические #уязвимости #ColdFusion #используемые #атаках #для #сброса #вебоболочек
