Duas novas vulnerabilidades no Adobe ColdFusion foram exploradas, incluindo uma que não foi completamente corrigida pela gigante do software
Ao menos duas novas vulnerabilidades no Adobe ColdFusion, divulgadas recentemente, parecem ter sido exploradas, incluindo uma falha que, segundo especialistas em segurança, não foi completamente corrigida pela gigante do software.
Na semana passada, a Adobe informou aos clientes sobre três vulnerabilidades críticas do ColdFusion. Primeiro, no dia 11 deste mês, anunciou patches para o CVE-2023-29298, um problema de controle de acesso impróprio que pode levar a um desvio de recurso de segurança. Depois, lançou correções para o CVE-2023-29300, um problema de desserialização que pode ser explorado para execução de código arbitrário. No último dia 14, a empresa anunciou patches para o CVE-2023-38203, outro problema de desserialização que pode levar à execução arbitrária de código.
Em e-mails de notificação enviados a alguns clientes, a Adobe disse erroneamente que estava ciente dos ataques direcionados ao CVE-2023-29300. Mas não há indicação de que essa falha tenha sido realmente explorada.
No entanto, a Rapid7 informou na segunda-feira, 17, que as outras duas vulnerabilidades corrigidas na semana passada — CVE-2023-29298 e CVE-2023-38203 — de fato parecem ter sido exploradas. A análise da empresa de segurança cibernética mostra que o CVE-2023-29298 foi encadeado com outra vulnerabilidade, provavelmente o CVE-2023-38203. Nos ataques observados pela empresa, os invasores executaram comandos do PowerShell para criar um webshell que lhes dá acesso ao endpoint de destino.
A Adobe observou quando anunciou patches para o CVE-2023-38203 no dia 14 que uma postagem de blog de prova de conceito (PoC) descrevendo a falha de segurança estava disponível. A Rapid7 alertou que a correção da Adobe para uma das vulnerabilidades exploradas, o CVE-2023-29298, está incompleta e que uma “exploração trivialmente modificada ainda funciona na versão mais recente do ColdFusion”. A empresa informou a Adobe.
FONTE: CISO ADVISOR