سوء استفاده هکرها از چندین آسیب پذیری Adobe ColdFusion

کد نوشته: 41561

۱۴۰۲-۰۴-۲۹

نهم تیرماه سال جاری شرکت Adobe اعلام کرد توسعه دهندگان چندین آسیب پذیری ColdFusion از جمله CVE-2023-29298 را برطرف کنند. گزارش شده است که دو آسیب‌پذیری ColdFusion وجود دارد که مهاجمان به طور فعال از آنها برای انجام کارهای غیرقانونی زیر سوء استفاده می‌کنند. – دور زدن احراز هویت– اجرای دستورات از راه دور– روی سرورهای […]

نهم تیرماه سال جاری شرکت Adobe اعلام کرد توسعه دهندگان چندین آسیب پذیری ColdFusion از جمله CVE-2023-29298 را برطرف کنند.

گزارش شده است که دو آسیب‌پذیری ColdFusion وجود دارد که مهاجمان به طور فعال از آنها برای انجام کارهای غیرقانونی زیر سوء استفاده می‌کنند.
–   دور زدن احراز هویت
–   اجرای دستورات از راه دور
–   روی سرورهای آسیب پذیر webshell ها را نصب کنید.
شرکت Rapid7 در ۱۳ ژوئیه Adobe ColdFusion را با شناسه “CVE-2023-29298” شناسایی کرد و یک آسیب پذیری منتشر نشده مرتبط با نام “CVE-2023-38203” اعلام کرد.

بهره برداری فعال
وصله CVE-2023-29300 از سریال‌زدایی کلاس خاصی در داده‌های WDDX ColdFusion جلوگیری می‌کند و از حملات مبتنی بر ابزارها بدون شکستن وابستگی‌های موجود جلوگیری می‌کند.
نویسندگان Project Discovery یک ابزار کاربردی را شناسایی کردند که با استفاده از com.sun.rowset.JdbcRowSetImpl می‌تواند به اجرای کد از راه دور دست یابد، زیرا در Denylist Adobe نیست.
Project Discovery ناخودآگاه یک نقص جدید در روز صفر پیدا کرد که باعث شد Adobe یک پچ خارج از برنامه را در ۱۴ جولای منتشر کند و با رد کردن مسیر کلاس، این اکسپلویت را مسدود کند:
• !com[.‎]‎sun.rowset.‎**

Rapid7 متوجه شد که وصله Adobe برای CVE-2023-29298 ناقص است زیرا یک اکسپلویت اصلاح شده هنوز در آخرین نسخه ColdFusion کار می کند. در حالی که هیچ اقدام کاهشی وجود ندارد، به‌روزرسانی به جدیدترین نسخه با رفع CVE-2023-38203 می‌تواند از رفتار مشاهده‌شده مهاجم جلوگیری کند.

محصولات تحت تأثیر
در زیر به نسخه های آسیب پذیر ColdFusion اشاره کرده ایم:
•   Adobe ColdFusion 2023 Update 1
•   Adobe ColdFusion 2021 Update 7 and below
•   Adobe ColdFusion 2018 Update 17 and below

نسخه های وصله شده ColdFusion
در زیر، ما تمام نسخه های وصله شده ColdFusion را ذکر کرده ایم:
•   Adobe ColdFusion 2023 Update 2
•   Adobe ColdFusion 2021 Update 8
•   Adobe ColdFusion 2018 Update 18

تمام نسخه های ذکر شده در بالا در برابر CVE-2023-338203 وصله شده اند اما هنوز در برابر CVE-2023-29298 آسیب پذیر هستند.
محققان Rapid7 در گزارش های IIS متوجه چندین درخواست POST برای استفاده از این اکسپلویت در گزارش‌های IIS شدند. y همه به accessmanager.cfc” فرستاده شدند.

درخواست های post

قوانین تشخیص
در زیر، تمام قوانین تشخیص را ذکر کرده ایم:
Webshell
Attacker Technique
Attacker Tool
Attacker Technique
PowerShell
Suspicious Process

کاهش
علاوه بر این، تحلیلگران امنیت سایبری اکیداً توصیه کرده اند که همه کاربران Adobe ColdFusion فوراً نسخه خود را به آخرین نسخه به روز کنند و دامنه oastify[.]‎com را نیز مسدود کنند.