Η CISA εντόπισε ένα σημαντικό ελάττωμα ασφαλείας στις εκδόσεις 2021 και 2018 του Adobe ColdFusion, το οποίο χρησιμοποιείται ενεργά από κακόβουλους φορείς.
Δείτε επίσης: Rubrik: Δέχτηκε hacking επίθεση λόγω του GoAnywhere zero-day
Αυτή η συγκεκριμένη ευπάθεια (CVE-2023-26360) προκαλείται από έναν ακατάλληλο έλεγχο πρόσβασης, επιτρέποντας σε κακόβουλες οντότητες να την εκμεταλλευτούν εξ αποστάσεως χωρίς καμία αλληλεπίδραση του χρήστη. Την Τρίτη, η Adobe δημοσίευσε μια συμβουλευτική ασφαλείας στην οποία δηλώνει ότι το CVE-2023-26360 ανακαλύφθηκε ότι μπορεί να αξιοποιηθεί σε ορισμένες περιορισμένες επιθέσεις κατά του Adobe ColdFusion. Δυστυχώς, τα ColdFusion 2016 και ColdFusion 11 πάσχουν επίσης από το ίδιο πρόβλημα. Ωστόσο η Adobe δεν παρέχει πλέον ενημερώσεις ασφαλείας σε εκδόσεις που έχουν λήξει τα συμβόλαια υποστήριξης.
Οι διαχειριστές θα πρέπει να εγκαταστήσουν ταχέως τις νεότερες ενημερώσεις ασφαλείας (κατά προτίμηση εντός 72 ωρών) και να εφαρμόσουν τις οδηγίες διαμόρφωσης ασφαλείας που περιγράφονται λεπτομερώς στους οδηγούς κλειδώματος ColdFusion 2018 και 2021 για μέγιστη προστασία. Ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών επέβαλε ότι όλες οι ομοσπονδιακές πολιτικές υπηρεσίες του εκτελεστικού κλάδου πρέπει να διασφαλίσουν τα δίκτυά τους από πιθανές παραβιάσεις με το exploit CVE-2023-26360 εντός τριών εβδομάδων, έως τις 5 Απριλίου.
Παρά το γεγονός ότι η δεσμευτική επιχειρησιακή οδηγία (BOD 22-01) που εκδόθηκε από την CISA τον Νοέμβριο του 2021 ισχύει μόνο για τις κυβερνητικές υπηρεσίες, συνιστάται στους οργανισμούς όλων των μεγεθών να επιδιορθώνουν τα συστήματά τους και να προστατεύονται από πιθανές προσπάθειες κακόβουλης εκμετάλλευσης των δικτύων τους.
Δείτε ακόμα: Microsoft: Επιδιορθώνει zero-day που χρησιμοποιήθηκε σε επιθέσεις ransomware
“Αυτοί οι τύποι τρωτών σημείων είναι συχνοί φορείς επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση,” δηλώνει η CISA.
Η Adobe ανακοίνωσε δημοσίως τις ενημερώσεις ασφαλείας ColdFusion 2021 και 2018 March 2023 σε μια ανάρτηση στο ιστολόγιο, αλλά παρέλειψε να σημειώσει ότι τα κενά ασφαλείας είχαν ήδη χρησιμοποιηθεί από κακόβουλους φορείς. Η Adobe κυκλοφόρησε πρόσφατα τις ενημερώσεις ColdFusion 2018 Update 16 και ColdFusion 2021 Update 6 για να αντιμετωπίσει την ευπάθεια του διακομιστή εφαρμογών που είχε γίνει αντικείμενο εκμετάλλευσης σε επιθέσεις zero-day.
Σε απάντηση στην ανάρτηση της Adobe στο blog σχετικά με τις ενημερώσεις ασφαλείας, ο Charlie Arehart – ένας από τους δύο ερευνητές που είναι υπεύθυνοι για την αποκάλυψη και την αναφορά του σφάλματος CVE-2023-26360 – εξέφρασε την ανησυχία του για τη σοβαρότητά του και ενθάρρυνε τους διαχειριστές του ColdFusion να το επιδιορθώσουν αμέσως.
“Αυτή η επιδιόρθωση ασφαλείας είναι πολύ πιο σημαντική από ό,τι υποδηλώνει η διατύπωση αυτής της ανάρτησης ιστολογίου” προειδοποιεί ο Arehart.
Δείτε επίσης: Clop ransomware: Παραβίασε εταιρείες μέσω GoAnywhere MFT zero-day
Το Adobe ColdFusion είναι ένα πλαίσιο ανάπτυξης λογισμικού που χρησιμοποιείται για τη δημιουργία δυναμικών ιστότοπων που αλληλεπιδρούν με βάσεις δεδομένων. Παρέχει στους χρήστες ένα εύχρηστο περιβάλλον στο οποίο μπορούν να αναπτύξουν γρήγορα ασφαλείς εφαρμογές ιστού. Το Adobe ColdFusion αναπτύχθηκε αρχικά από την Allaire Corporation το 1995, αλλά αργότερα εξαγοράστηκε από τη Macromedia (που σήμερα ανήκει στην Adobe Systems) το 2001. Από τότε, η τεχνολογία έχει υποστεί αρκετές σημαντικές ενημερώσεις και βελτιώσεις.
