نهم تیرماه سال جاری شرکت Adobe اعلام کرد توسعه دهندگان چندین آسیب پذیری ColdFusion از جمله CVE-2023-29298 را برطرف کنند.
گزارش شده است که دو آسیبپذیری ColdFusion وجود دارد که مهاجمان به طور فعال از آنها برای انجام کارهای غیرقانونی زیر سوء استفاده میکنند.
– دور زدن احراز هویت
– اجرای دستورات از راه دور
– روی سرورهای آسیب پذیر webshell ها را نصب کنید.
شرکت Rapid7 در ۱۳ ژوئیه Adobe ColdFusion را با شناسه “CVE-2023-29298” شناسایی کرد و یک آسیب پذیری منتشر نشده مرتبط با نام “CVE-2023-38203” اعلام کرد.
بهره برداری فعال
وصله CVE-2023-29300 از سریالزدایی کلاس خاصی در دادههای WDDX ColdFusion جلوگیری میکند و از حملات مبتنی بر ابزارها بدون شکستن وابستگیهای موجود جلوگیری میکند.
نویسندگان Project Discovery یک ابزار کاربردی را شناسایی کردند که با استفاده از com.sun.rowset.JdbcRowSetImpl میتواند به اجرای کد از راه دور دست یابد، زیرا در Denylist Adobe نیست.
Project Discovery ناخودآگاه یک نقص جدید در روز صفر پیدا کرد که باعث شد Adobe یک پچ خارج از برنامه را در ۱۴ جولای منتشر کند و با رد کردن مسیر کلاس، این اکسپلویت را مسدود کند:
• !com[.]sun.rowset.**
Rapid7 متوجه شد که وصله Adobe برای CVE-2023-29298 ناقص است زیرا یک اکسپلویت اصلاح شده هنوز در آخرین نسخه ColdFusion کار می کند. در حالی که هیچ اقدام کاهشی وجود ندارد، بهروزرسانی به جدیدترین نسخه با رفع CVE-2023-38203 میتواند از رفتار مشاهدهشده مهاجم جلوگیری کند.
محصولات تحت تأثیر
در زیر به نسخه های آسیب پذیر ColdFusion اشاره کرده ایم:
• Adobe ColdFusion 2023 Update 1
• Adobe ColdFusion 2021 Update 7 and below
• Adobe ColdFusion 2018 Update 17 and below
نسخه های وصله شده ColdFusion
در زیر، ما تمام نسخه های وصله شده ColdFusion را ذکر کرده ایم:
• Adobe ColdFusion 2023 Update 2
• Adobe ColdFusion 2021 Update 8
• Adobe ColdFusion 2018 Update 18
تمام نسخه های ذکر شده در بالا در برابر CVE-2023-338203 وصله شده اند اما هنوز در برابر CVE-2023-29298 آسیب پذیر هستند.
محققان Rapid7 در گزارش های IIS متوجه چندین درخواست POST برای استفاده از این اکسپلویت در گزارشهای IIS شدند. y همه به accessmanager.cfc” فرستاده شدند.
درخواست های post
قوانین تشخیص
در زیر، تمام قوانین تشخیص را ذکر کرده ایم:
Webshell
Attacker Technique
Attacker Tool
Attacker Technique
PowerShell
Suspicious Process
کاهش
علاوه بر این، تحلیلگران امنیت سایبری اکیداً توصیه کرده اند که همه کاربران Adobe ColdFusion فوراً نسخه خود را به آخرین نسخه به روز کنند و دامنه oastify[.]com را نیز مسدود کنند.
دیدگاهتان را بنویسید