A Adobe lançou uma segunda rodada de patches para algumas vulnerabilidades do ColdFusion divulgadas recentemente, incluindo falhas que parecem ter sido exploradas em ataques.
Em 11 de julho, a Adobe anunciou patches para CVE-2023-29298, um problema de controle de acesso impróprio que pode levar a um desvio de recurso de segurança. Em 14 de julho, a empresa informou aos clientes sobre as correções para CVE-2023-38203, um problema de desserialização que poderia levar à execução arbitrária do código.
Alguns dias depois, a empresa de segurança cibernética Rapid7 relatou ter visto ataques direcionados a usuários do ColdFusion. A análise da empresa mostrou que os invasores exploraram o CVE-2023-29298 e o encadearam com o que parecia ser o CVE-2023-38203.
Rapid7 apontou na época que o patch da Adobe para CVE-2023-29298 estava incompleto e fácil de ignorar.
Na quarta-feira, 19 de julho, a Adobe anunciou outro Atualização do ColdFusion para corrigir três novos CVEs. Um deles, CVE-2023-38205é o bypass para CVE-2023-29298.
A gigante do software alertou em seu comunicado que o CVE-2023-38205 foi “explorado na natureza em ataques limitados”.
Embora ‘ataques limitados’ possam sugerir exploração por agentes de ameaças patrocinados pelo estado em operações altamente direcionadas, as vulnerabilidades do ColdFusion também são conhecidas por serem exploradas por grupos de crimes cibernéticos com fins lucrativos.
A Adobe ainda não confirmou que o CVE-2023-38203 também foi explorado na natureza.
O CVE-2023-38203 foi relatado à Adobe por duas partes, incluindo pesquisadores da empresa de segurança de código aberto ProjectDiscovery.
Em 12 de julho, o ProjectDiscovery tornou público o que eles acreditavam ser uma análise do CVE-2023-29300, outra vulnerabilidade do ColdFusion que poderia levar à execução remota de código. No entanto, sua análise inadvertidamente também revelou o CVE-2023-38203, que na época ainda não havia sido corrigido – a Adobe lançou patches em 14 de julho.
O ProjectDiscovery rapidamente retirou sua postagem do blog após ser notificado pela Adobe e, em 19 de julho, publicou novamente a postagem com extensão . A empresa descobriu que o patch da Adobe para CVE-2023-38203 estava incompleto e uma das últimas correções do ColdFusion da Adobe, para CVE-2023-38204, na verdade aborda esse desvio de patch.
A Adobe na quarta-feira também lançou um patch para CVE-2023-38206, uma vulnerabilidade do ColdFusion descoberta pelo pesquisador Brian Reilly, que recentemente também foi creditado pela Adobe por outra falha do ColdFusion rastreada como CVE-2023-29301. O tempo sugere que CVE-2023-38206 pode ter sido atribuído após o patch para CVE-2023-29301 ter sido ignorado. Cibersegurança Notícias entrou em contato com Reilly para confirmação e atualizará este artigo se ele responder.
: