ColdFusion в огне: хакеры миксуют уязвимости, обходят патчи и устанавливают веб-оболочки

Киберпреступники активно эксплуатируют сразу две уязвимости нулевого дня в Adobe ColdFusion, чтобы обойти аутентификацию и удалённо выполнять команды для установки веб-оболочек на уязвимых серверах.

Активная эксплуатация была обнаружена исследователями из Rapid7, которые заметили, что злоумышленники объединяют вместе эксплойты для обхода контроля доступа ( CVE-2023-29298 ) и критической уязвимости удалённого выполнения кода ( CVE-2023-38203 ), чтобы сделать свои атаки более эффективными.

11 июля Adobe раскрыла уязвимость обхода аутентификации в ColdFusion с идентификатором CVE-2023-29298, обнаруженную исследователями из Rapid7, а также уязвимость удалённого выполнения кода до аутентификации с идентификатором CVE-2023-29300, обнаруженную исследователями из CrowdStrike.

CVE-2023-29300 — это уязвимость десериализации, оцененная как критическая с рейтингом серьёзности 9.8, так как она может быть использована неавторизованными злоумышленниками для удалённого выполнения команд на уязвимых серверах Coldfusion 2018, 2021 и 2023 в атаках с низкой сложностью.

Хотя на тот момент данная уязвимость не эксплуатировалась, в блоге Project Discovery 12 июля был опубликован технический пост с PoC-эксплойтом для CVE-2023-29300, однако позже этот пост был удалён.

Исследователи Rapid7 заявляют, что Adobe оперативно исправила эту уязвимость, добавив чёрный список для библиотеки Web Distributed Data eXchange (WDDX), чтобы предотвратить создание злонамеренных цепочек гаджетов.

«Вероятно, Adobe не может полностью удалить эту функциональность WDDX, так как это затронуло работу многих элементов, которые на неё полагаются, поэтому вместо запрета десериализации данных WDDX специалисты Adobe реализовали чёрный список путей классов Java, которые не могут быть десериализованы (то есть злоумышленник не может указать гаджет десериализации, расположенный в этих путях классов)», — объяснили специалисты из Rapid7.

14 июля Adobe выпустила внеплановое обновление безопасности для уязвимости CVE-2023-38203. Rapid7 считает, что эта уязвимость обходит исправление для CVE-2023-29300, исследователи даже нашли подходящую цепочку для достижения удалённого выполнения кода. Поэтому медлить с установкой исправления попросту нельзя.

Тем не менее, несмотря на наличие патча от Adobe для CVE-2023-38203, специалисты Rapid7 говорят, что исправление для их уязвимости CVE-2023-29298 всё ещё может быть обойдено, поэтому, вероятно, стоит ожидать ещё одного патча от Adobe в ближайшее время.

Пока Adobe рекомендует администраторам «заблокировать» установки ColdFusion, чтобы повысить безопасность и обеспечить лучшую защиту от атак, специалисты кибербезопасности уверены, что злоумышленники могут эффективно использовать сразу несколько уязвимостей в своих атаках, чтобы обойти исправления Adobe.

«Это сочетание позволяет удалённо выполнять код против уязвимого экземпляра ColdFusion, даже если он настроен в заблокированном режиме», — отметили исследователи Project Discovery в своём удалённом отчёте.

Вчера специалисты Rapid7 заявили в вышеупомянутом отчёте, что они начали фиксировать атакующих, которые объединяют эксплойты для уязвимости CVE-2023-29298 с тем PoC-эксплойтом, который опубликовали эксперты из Project Discovery. Как сообщается, хакеры используют эти эксплойты для обхода безопасности и установки веб-оболочек на уязвимых серверах ColdFusion, чтобы получить удалённый доступ к устройствам.

Хотя в Rapid7 заявили, что в настоящее время нет патча для полного исправления CVE-2023-29298, для корректной работы эксплойта требуется наличие второй уязвимости, такой как CVE-2023-38203. Поэтому установка последней версии ColdFusion предотвратит цепочку эксплуатации, если злоумышленники не придумают какой-то новой обходной уловки.

UPD: вечером Adobe выпустила исправление, перекрывающее все действующие уязвимости. Поскольку они активно используются при атаках с целью получения контроля над серверами ColdFusion, системным администраторам и операторам веб-сайтов настоятельно рекомендуется установить обновление как можно скорее.