0 0 Quando a Adobe lançou atualizações de segurança para sua plataforma de desenvolvimento de aplicativos ColdFusion no mês passado, observou que uma das vulnerabilidades (CVE-2023-26360) havia sido explorada na natureza “em ataques muito limitados”.
Seus servidores estavam entre os atingidos? E o que você deveria fazer se eles fossem?
Sobre CVE-2023-26360 (e CVE-2023-26359)
CVE-2023-26360 é uma vulnerabilidade de controle de acesso impróprio que pode resultar em execução arbitrária de código no contexto do usuário atual e foi relatada à Adobe pelos consultores de segurança Charlie Arehart e Pete Freitag.
Logo após a Adobe lançar o boletim de segurança e as atualizações de segurança, a CISA dos EUA adicionou CVE-2023-26360 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e estabeleceu um prazo para que as agências federais do Poder Executivo civil corrijam isso até 5 de abril de 2023.
Mas, como Arehart explicou, a urgência da atualização pode não ter sido compreendida por alguns.
As atualizações de segurança corrigem CVE-2023-26360 e duas outras falhas – CVE-2023-26359 e CVE-2023-26361 – que podem levar à execução arbitrária de código, leitura arbitrária do sistema de arquivos e vazamento de memória.
“Na minha opinião, essa correção de segurança é muito mais importante do que o texto [da postagem no blog da Adobe] sugere e até mesmo que as notas técnicas de atualização sugeririam. Para ser claro, eu pessoalmente vi as vulnerabilidades de ‘execução arbitrária de código’ e ‘leitura arbitrária do sistema de arquivos’ terem sido perpetradas em vários servidores, e é grave”, observou ele.
Então, ele compilou seu próprio extenso artigo para ajudar os defensores a determinar se alguém explorou essas falhas para comprometer seus servidores.
Patch se você ainda não o fez!
Na segunda-feira, o Rapid7 adicionou ao seu projeto AttackerKB uma análise de causa raiz para CVE-2023-26359 e CVE-2023-26360 e PoCs para usá-los para acionar a execução arbitrária de código e leitura de arquivos e para obter execução remota de código não autenticada.
“[CVE-2023-26359] foi relatado explorado na natureza como CVE-2023-26360, mas a causa raiz parece ser a desserialização de dados não confiáveis via CVE-2023-26359”, observou Stephen Fewer, pesquisador principal de segurança da Rapid7, e anunciou a disponibilidade iminente de um módulo Metasploit para ele.
Com tudo isso em mente, se você estiver usando o Adobe ColdFusion para desenvolver e implantar aplicativos da Web ou móveis ou gerar serviços remotos e não tiver atualizado seus servidores para o ColdFusion 2018 Atualização 16 ou ColdFusion 2021 Atualização 6, agora é hora de fazê-lo.
FONTE: HELPNET SECURITY
