Aktualizacja 17.07.23: artykuł został zaktualizowany z powodu błędnego ostrzeżenia dodanego przez firmę Adobe do powiadomienia e-mail. Jednak Rapid7 zauważył, że nowsza wersja błędu jest aktywnie wykorzystywana.

Hakerzy aktywnie wykorzystują dwie luki w zabezpieczeniach ColdFusion, aby ominąć uwierzytelnianie i zdalnie wykonać polecenia w celu zainstalowania powłoki internetowej na wrażliwych serwerach.

Aktywna eksploatacja została zauważona przez badaczy z firmy Rapid7, która twierdzi, że cyberprzestępcy łączą ze sobą exploity w celu wykrycia luki w zabezpieczeniach związanej z obejściem kontroli dostępu (CVE-2023-29298) i czegoś, co wydaje się być CVE-2023-38203, krytycznej luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu.

Omijanie poprawek

11 lipca firma Adobe ujawniła obejście uwierzytelniania ColdFusion śledzone jako CVE-2023-29298, odkryte przez badaczy Rapid7, Stephena Fewera, oraz lukę RCE przed uwierzytelnieniem śledzoną jako CVE-2023-29300, odkrytą przez badacza CrowdStrike, Nicolasa Zilio.

CVE-2023-29300 to luka deserializacji sklasyfikowana jako krytyczna z oceną ważności 9,8, ponieważ może być wykorzystywana przez nieuwierzytelnionych gości do zdalnego wykonywania poleceń na podatnych na ataki serwerach Coldfusion 2018, 2021 i 2023 w atakach o niskiej złożoności.

Chociaż luka nie została wówczas wykorzystana, 12 lipca opublikowany został niedawno usunięty techniczny post na blogu Project Discovery, który zawiera exploita typu proof-of-concept dla luki CVE-2023-29300.

Według usuniętego już wpisu na blogu Project Discovery, luka w zabezpieczeniach wynika z niezabezpieczonej deserializacji w bibliotece WDDX.

„Podsumowując, nasza analiza ujawniła znaczną lukę w procesie deserializacji WDDX w Adobe ColdFusion 2021 (aktualizacja 6)”, wyjaśnia post na blogu Project Discovery.

„Wykorzystując tę ​​lukę, byliśmy w stanie uzyskać zdalne wykonanie kodu. Problem wynikał z niebezpiecznego użycia Java Reflection API, które umożliwiało wywołanie pewnych metod”.

Rapid7 twierdzi, że firma Adobe naprawiła tę lukę, dodając listę odmów do biblioteki Web Distributed Data eXchange (WDDX), aby zapobiec tworzeniu złośliwych łańcuchów gadżetów.

„Adobe prawdopodobnie nie jest w stanie całkowicie usunąć tej funkcji WDDX, ponieważ zepsułoby to wszystkie rzeczy, które na niej polegają, więc zamiast zabraniać deserializacji danych WDDX, implementują listę odrzuconych ścieżek klas Java, których nie można deserializować (więc atakujący nie może określ gadżet deserializacji znajdujący się w tych ścieżkach klas)” wyjaśnia raport Rapid7.

14 lipca firma Adobe wydała pozapasmową aktualizację zabezpieczeń dla luki CVE-2023-38203, którą odkrył Project Discovery.

Rapid7 uważa, że ​​ta luka omija lukę CVE-2023-29300, a badacze znajdują użyteczny łańcuch gadżetów umożliwiający zdalne wykonanie kodu.

Aktualizacja zabezpieczeń OOB firmy Adobe po raz kolejny aktualizuje listę odrzuconych, aby uniemożliwić gadżetowi za pośrednictwem pliku „com.sun.rowset. JdbcRowSetImpl”, która była klasą używaną w exploicie PoC Project Discover.

Niestety, chociaż wydaje się, że ta luka została naprawiona, firma Rapid7 twierdzi, że odkryła dzisiaj, że poprawkę dotyczącą luki CVE-2023-29298 można nadal obejść, więc wkrótce powinniśmy spodziewać się kolejnej łatki firmy Adobe,

Wykorzystywany w atakach

Adobe zaleca, aby administratorzy blokowali instalacje ColdFusion w celu zwiększenia bezpieczeństwa i oferowania lepszej ochrony przed atakami.

Jednak badacze z Project Discovery ostrzegli, że CVE-2023-29300 (i prawdopodobnie CVE-2023-38203) może zostać powiązany z CVE-2023-29298, aby ominąć tryb blokady.

„Aby wykorzystać tę lukę, zwykle niezbędny jest dostęp do ważnego punktu końcowego CFC. Jeśli jednak nie można uzyskać bezpośredniego dostępu do domyślnych punktów końcowych CFC przed uwierzytelnieniem ze względu na tryb blokady ColdFusion, możliwe jest połączenie tej luki z luką CVE-2023-29298 ”, podsumowuje opis techniczny Project Discovery.

„Ta kombinacja umożliwia zdalne wykonanie kodu na podatnej na ataki instancji ColdFusion, nawet jeśli jest skonfigurowana w trybie zablokowanym”.

Dzisiaj Rapid7 mówi, że atakujący zaczęli dostrzegać lukę CVE-2023-29298 w łańcuchu exploitów i coś, co wydaje się być exploitem zademonstrowanym w artykule Project Discovery z 13 lipca, dzień po opublikowaniu opisu technicznego.

Atakujący wykorzystują te exploity do obejścia zabezpieczeń i zainstalowania powłoki sieciowej na wrażliwych serwerach ColdFusion w celu uzyskania zdalnego dostępu do urządzeń.

Te powłoki webshell były widoczne w następującym folderze:

.\ColdFusion11\cfusion\wwwroot\CFIDE\ckeditr.cfm

Chociaż Rapid7 twierdzi, że obecnie nie ma łatki, która w pełni naprawiłaby lukę CVE-2023-29298, exploit wymaga drugiej luki, takiej jak CVE-2023-38203. Dlatego zainstalowanie najnowszej wersji ColdFusion zapobiegnie łańcuchowi exploitów.

„Dlatego aktualizacja do najnowszej dostępnej wersji ColdFusion, która naprawia lukę CVE-2023-38203, powinna nadal zapobiegać zachowaniom atakujących obserwowanym przez nasz zespół MDR” — radzi Rapid7.

Ze względu na jego wykorzystanie w atakach administratorom zdecydowanie zaleca się aktualizację ColdFusion do najnowszej wersji, aby jak najszybciej załatać lukę.

17.07.23: Artykuł został zaktualizowany o informacje z firm Rapid7 i Adobe, które omyłkowo ostrzegały, że luka CVE-2023-29300 została wykorzystana.