Pelo menos duas vulnerabilidades do Adobe ColdFusion divulgadas recentemente parecem ter sido exploradas, incluindo uma falha que, segundo especialistas em segurança, não foi completamente corrigida pela gigante do software.
Na semana passada, a Adobe informou aos clientes sobre três vulnerabilidades críticas do ColdFusion. Primeiro, em 11 de julho, anunciou patches para CVE-2023-29298, um problema de controle de acesso impróprio que pode levar a um desvio de recurso de segurança, e CVE-2023-29300, um problema de desserialização que pode ser explorado para execução de código arbitrário.
Então, em 14 de julho, a empresa anunciou patches para CVE-2023-38203, outro problema de desserialização que pode levar à execução arbitrária de código.
Em e-mails de notificação enviados a alguns clientes, a Adobe erroneamente disse que estava ciente dos ataques direcionados ao CVE-2023-29300. Não há indicação de que essa falha tenha sido realmente explorada.
No entanto, a empresa de segurança cibernética Rapid7 informou na segunda-feira que as outras duas vulnerabilidades corrigidas na semana passada, CVE-2023-29298 e CVE-2023-38203, de fato parecem ter sido exploradas na natureza.
A análise do Rapid7 mostra que o CVE-2023-29298 foi encadeado com outra vulnerabilidade, provavelmente CVE-2023-38203. Nos ataques observados pela empresa, os invasores executaram comandos do PowerShell para criar um webshell que lhes dá acesso ao endpoint de destino.
O CVE-2023-38203 foi descoberto por pesquisadores do ProjectDiscovery, que publicou uma postagem no blog detalhando as descobertas em 12 de julho, antes de a Adobe anunciar seu patch. A postagem do blog foi retirada do ar e Rapid7 acredita que o ProjectDiscovery pensou que eles estavam realmente divulgando o CVE-2023-29300, que já havia sido corrigido pela Adobe, mas, na realidade, o post do blog de 12 de julho detalhou o CVE-2023-38203, para o qual o fornecedor ainda não havia lançado um patch.
De fato, a Adobe observou quando anunciou patches para CVE-2023-38203 em 14 de julho que uma postagem de blog de prova de conceito (PoC) descrevendo a falha de segurança estava disponível.
Rapid7 alertou que a correção da Adobe para uma das vulnerabilidades exploradas, CVE-2023-29298, está incompleta e uma “exploração trivialmente modificada ainda funciona contra a versão mais recente do ColdFusion”. A empresa informou a Adobe.
“Atualmente não há mitigação para CVE-2023-29298, mas a cadeia de exploração que o Rapid7 está observando na natureza depende de uma vulnerabilidade secundária para execução completa nos sistemas de destino. Portanto, a atualização para a versão mais recente disponível do ColdFusion que corrige o CVE-2023-38203 ainda deve impedir o comportamento do invasor que nossa equipe de MDR está observando”, disse Rapid7.
A postagem no blog da empresa de segurança fornece .
Esta é a segunda vez em 2023 que os usuários são avisados sobre ataques que exploram as vulnerabilidades do ColdFusion. Em março, a Adobe informou aos clientes sobre um dia zero sendo aproveitado em ataques muito limitados.
Embora ‘ataques limitados’ possam sugerir exploração por ciberespiões patrocinados pelo estado em operações altamente direcionadas, as vulnerabilidades do ColdFusion também são conhecidas por serem .
Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA atualmente contém nove vulnerabilidades do ColdFusion, mas não inclui essas falhas mais recentes.