0
0
Falhas com correções incompletas
Em 11 de julho de 2023, a Adobe lançou atualizações de segurança para as versões 2023, 2021 e 2018 do ColdFusion contendo correções para três vulnerabilidades:
- CVE-2023-29298, uma falha crítica de controle de acesso impróprio que pode permitir que invasores contornem um recurso de segurança (relatado por Stephen Fewer do Rapid7)
- CVE-2023-29300, uma desserialização de dados não confiáveis que podem ser explorados para execução de código arbitrário (relatado por Nicolas Zilio da Crowdstrike)
- CVE-2023-29301, outra vulnerabilidade de desvio de recurso de segurança (relatado por Brian Reilly)
Na época, não havia indicação de que algum deles estivesse sendo explorado na natureza. Tudo isso mudou em 13 de julho, quando, de acordo com Caitlin Condon, da Rapid7, as equipes de serviços gerenciados da empresa começaram a observar a exploração do Adobe ColdFusion em vários ambientes de clientes.
“Com base nas evidências disponíveis, os agentes de ameaças parecem estar explorando o CVE-2023-29298 em conjunto com uma vulnerabilidade secundária. O comportamento que nossas equipes estão observando parece ser consistente com o CVE-2023-38203, que foi publicado e posteriormente retirado pelo Project Discovery por volta de 12 de julho”, explicou ela.
“É muito provável que o Project Discovery pensasse que estava publicando uma exploração de n dias para CVE-2023-29300. Na verdade, o que o Project Discovery detalhou foi uma nova cadeia de exploração de dia zero que a Adobe corrigiu em uma atualização fora de banda em 14 de julho.
Tecnicamente, o patch para CVE-2023-29300 estava incompleto: a Adobe proibiu a desserialização de dados do Web Distributed Data eXchange, mas usou uma lista de negação incompleta de caminhos de classe Java – e os pesquisadores do Project Discovery encontraram um caminho explorável.
“A equipe do Project Discovery provavelmente não percebeu que sua descoberta era uma nova vulnerabilidade de dia zero e (presumimos) retirou o blog enquanto a Adobe corrigia a falha”, observou Condon .
O que os administradores corporativos podem fazer?
Obviamente, os invasores aproveitaram e aproveitaram o exploit publicado para CVE-2023-38203, concatenaram-no com um exploit para CVE-2023-29298 e foram à caça de servidores não corrigidos.
Para piorar a situação, o Rapid7 descobriu na segunda-feira que a correção para CVE-2023-29298 também está incompleta e que um “exploit modificado trivialmente” ainda funciona na versão mais recente do ColdFusion (lançada em 14 de julho).
“Atualmente não há mitigação para CVE-2023-29298, mas a cadeia de exploração que o Rapid7 está observando na natureza depende de uma vulnerabilidade secundária para execução completa nos sistemas de destino. Portanto, atualizar para a versão mais recente disponível do ColdFusion que corrige o CVE-2023-38203 ainda deve impedir o comportamento do invasor que nossa equipe de MDR está observando”, concluiu Condon, e compartilhou IoCs e detalhes sobre o comportamento dos invasores.
É provável que a Adobe envie uma correção completa para CVE-2023-29298 nos próximos dias, portanto, os administradores são aconselhados a ficar de olho e implementá-la rapidamente.
FONTE: HELP NET SECURITY