Οι χάκερ εκμεταλλεύονται ενεργά δύο ευπάθειες του ColdFusion προκειμένου να παρακάμψουν τον έλεγχο ταυτότητας και να εκτελέσουν εντολές από απόσταση, εγκαθιστώντας έτσι webshells σε ευάλωτους servers.
Δείτε επίσης: Ισπανία: Οι αρχές συνέλαβαν Ουκρανό hacker για επιθέσεις scareware
Οι ερευνητές της Rapid7 εντόπισαν ενεργό exploitation και λένε ότι οι απειλητικοί φορείς συνδυάζουν αλυσιδωτά exploits για μια ευπάθεια παράκαμψης ελέγχου πρόσβασης (CVE-2023-29298) και μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (CVE-2023-38203).
Δείτε επίσης: Υπάλληλος IT φυλακίστηκε γιατί παρίστανε ransomware ομάδα και εκβίαζε τον εργοδότη του
Παράκαμψη των patches
Στις 11 Ιουλίου, η Adobe αποκάλυψε μια παράκαμψη ελέγχου ταυτότητας, με την ονομασία CVE-2023-29298, που ανακαλύφθηκε από τον ερευνητή της Rapid7 Stephen Fewer, και μια ευπάθεια RCE πριν από τον έλεγχο ταυτότητας, με την ονομασία CVE-2023-29300, που ανακαλύφθηκε από τον ερευνητή της CrowdStrike Nicolas Zilio.
Το CVE-2023-29300 είναι μια ευπάθεια deserialization που αξιολογείται ως κρίσιμη με βαθμό σοβαρότητας 9,8, καθώς μπορεί να χρησιμοποιηθεί από μη εξουσιοδοτημένους επισκέπτες για την απομακρυσμένη εκτέλεση εντολών σε ευάλωτους servers Coldfusion 2018, 2021 και 2023 σε επιθέσεις χαμηλής πολυπλοκότητας.
Αν και η ευπάθεια δεν είχε γίνει αντικείμενο εκμετάλλευσης τότε, στις 12 Ιουλίου δημοσιεύτηκε μια τεχνική δημοσίευση σε ιστολόγιο που αφαιρέθηκε πρόσφατα από το Project Discovery και περιείχε ένα proof-of-concept exploit για το CVE-2023-29300.
Σύμφωνα με την ανάρτηση στο blog του Project Discovery που έχει πλέον αφαιρεθεί, η ευπάθεια προέρχεται από το insecure deserialization στη βιβλιοθήκη WDDX.
Η Rapid7 δηλώνει ότι η Adobe διόρθωσε αυτή την ευπάθεια εφαρμόζοντας μια λίστα deny για τη βιβλιοθήκη Web Distributed Data eXchange (WDDX) για να αποτρέψει το σχηματισμό κακόβουλων gadget chains.
Στις 14 Ιουλίου, η Adobe κυκλοφόρησε μια ενημερωμένη έκδοση ασφαλείας για το CVE-2023-38203, το οποίο ανακαλύφθηκε από το Project Discovery.
Η Rapid7 πιστεύει ότι αυτή η ευπάθεια παρακάμπτει το ελάττωμα CVE-2023-29300, με τους ερευνητές να βρίσκουν μια χρησιμοποιήσιμη αλυσίδα gadget που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα.
Η out-of-band ενημέρωση ασφαλείας της Adobe ενημερώνει και πάλι τη “deny list” για να αποτρέψει ένα gadget μέσω της κλάσης “com.sun.rowset.JdbcRowSetImpl”, η οποία ήταν η κλάση που χρησιμοποιήθηκε στο proof-of-concept exploit του Project Discover.
Δυστυχώς, ενώ αυτή η ευπάθεια φαίνεται να έχει διορθωθεί, η Rapid7 ανακάλυψε σήμερα ότι η διόρθωση για το ελάττωμα CVE-2023-29298 μπορεί ακόμα να παρακαμφθεί- επομένως, θα πρέπει να περιμένουμε σύντομα ένα άλλο patch από την Adobe.
Δείτε επίσης: JumpCloud: Hacking επίθεση οδήγησε σε παραβίαση
Εκμετάλλευση σε επιθέσεις
Η Adobe συνιστά στους διαχειριστές να “κλειδώνουν” τα ColdFusion installations για να αυξήσουν την ασφάλεια και να προσφέρουν καλύτερη άμυνα κατά των επιθέσεων.
Ωστόσο, οι ερευνητές του Project Discovery προειδοποίησαν ότι το CVE-2023-29300 (και πιθανώς το CVE-2023-38203) θα μπορούσε να συνδεθεί με το CVE-2023-29298 για να παρακάμψει τη λειτουργία κλειδώματος.
Σήμερα, η Rapid7 δήλωσε ότι άρχισε να βλέπει επιτιθέμενους να εκμεταλλεύονται το ελάττωμα CVE-2023-29298 και αυτό που φαίνεται να είναι το exploit που παρουσιάστηκε στο άρθρο του Project Discovery στις 13 Ιουλίου, μια μέρα μετά τη δημοσίευση του τεχνικού άρθρου.
Οι επιτιθέμενοι χρησιμοποιούν αυτά τα exploits για να παρακάμψουν την ασφάλεια και να εγκαταστήσουν webshells σε ευάλωτους διακομιστές ColdFusion, αποκτώντας έτσι απομακρυσμένη πρόσβαση στις συσκευές.
Αυτά τα webshells εμφανίζονται στον ακόλουθο φάκελο:
.\ColdFusion11\cfusion\wwwroot\CFIDE\ckeditr.cfm
Η Rapid7 έχει δηλώσει ότι δεν υπάρχει επί του παρόντος κανένα patch για την πλήρη διόρθωση του CVE-2023-29298. Ωστόσο, η εκμετάλλευση απαιτεί μια δεύτερη ευπάθεια, όπως το CVE-2023-38203. Κατά συνέπεια, η εγκατάσταση της πιο πρόσφατης έκδοσης του ColdFusion θα μπλοκάρει το exploit chain.
Συνιστάται στους διαχειριστές να αναβαθμίσουν το ColdFusion στην πιο πρόσφατη έκδοση το συντομότερο δυνατό, προκειμένου να επιδιορθωθεί το ελάττωμα που αξιοποιείται στις επιθέσεις.
Πηγή πληροφοριών: bleepingcomputer.com
