Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προειδοποίησε για δύο κρίσιμες ευπάθειες στο ColdFusion (μια zero-day) που χρησιμοποιούνται σε επιθέσεις, και έδωσε στις ομοσπονδιακές υπηρεσίες τρεις εβδομάδες για να προστατεύσουν τους Adobe ColdFusion servers στα δίκτυά τους.
Σύμφωνα με το binding operational directive (BOD 22-01) που εκδόθηκε από την CISA τον Νοέμβριο του 2021, οι Federal Civilian Executive Branch Agencies (FCEB) είναι υποχρεωμένες να διορθώνουν τα συστήματά τους έναντι όλων των σφαλμάτων που προστίθενται στον κατάλογο Known Exploited Vulnerabilities (KEV). Πρόκειται για τον κατάλογο της CISA που διαθέτει όλες τις σημαντικές ευπάθειες που είναι γνωστό ότι χρησιμοποιούνται σε επιθέσεις. Οι φορείς απειλών μπορούν να ακολουθήσουν μια συγκεκριμένη μέθοδο για την εκμετάλλευση αυτών των ελαττωμάτων και θεωρούνται πρωταρχικοί στόχοι για επιθέσεις.
Δείτε επίσης: Adobe: Επείγον patch διορθώνει ColdFusion zero-day
Με την τελευταία ενημέρωση, όλες οι υπηρεσίες FCEB των ΗΠΑ έχουν λάβει οδηγίες να αντιμετωπίσουν τις δύο ευπάθειες έως τις 10 Αυγούστου.
 προειδοποίησε για δύο κρίσιμες ευπάθειες στο Adobe ColdFusion){kind=link}
Αυτός ο κατάλογος της CISA απευθύνεται κυρίως σε ομοσπονδιακούς φορείς, αλλά και οι ιδιωτικές εταιρείες θα πρέπει να αντιμετωπίσουν έγκαιρα τις δύο ευπάθειες στο ColdFusion αν θέλουν να παραμείνουν τα συστήματά τους ασφαλή.
Ο οργανισμός ασφάλειας εξηγεί ότι αυτού του είδους οι ευπάθειες μπορούν εύκολα να χρησιμοποιηθούν από εγκληματίες του κυβερνοχώρου και θέτουν σημαντικούς κινδύνους για τις ομοσπονδιακές υπηρεσίες.
ColdFusion ευπάθειες
Η Adobe αντιμετώπισε τις ευπάθειες CVE-2023-29298 (παράκαμψη ελέγχου πρόσβασης) και CVE-2023-29300 (pre-auth RCE) στις 11 Ιουλίου.
Δείτε επίσης: Οι χάκερ εκμεταλλεύονται ενεργά δύο ευπάθειες του ColdFusion
Δύο ημέρες αργότερα, η Rapid7 είπε ότι παρατήρησε εισβολείς να συνδυάζουν exploits για το CVE-2023-29298 και κάτι που έμοιαζε με τα σφάλματα CVE-2023-29300/CVE-2023-38203, για να αναπτύξουν web shells σε ευάλωτους ColdFusion servers. Στόχος τους ήταν να αποκτήσουν πρόσβαση στις backdoored συσκευές.
Τη Δευτέρα, 17 Ιουλίου, η Rapid7 ανακάλυψε ότι κάποιοι hackers μπορούσαν να παρακάμψουν την ενημέρωση για το CVE-2023-29298 και να συνεχίσουν τις επιθέσεις.
“Οι ερευνητές της Rapid7 διαπίστωσαν τη Δευτέρα 17 Ιουλίου ότι η επιδιόρθωση που έδωσε η Adobe για το CVE-2023-29298, στις 11 Ιουλίου, δεν είναι ολοκληρωμένη και ότι ένα τροποποιημένο exploit εξακολουθεί να λειτουργεί ενάντια στην τελευταία έκδοση του ColdFusion (κυκλοφόρησε στις 14 Ιουλίου)”, δήλωσε η Rapid7.
Η Adobe κυκλοφόρησε έκτακτες ενημερώσεις ασφαλείας για να αντιμετωπίσει εκ νέου την ευπάθεια στις 19 Ιουλίου.
Δείτε επίσης: Εντοπίστηκαν δύο κρίσιμες ευπάθειες AMI MegaRAC
Τις προηγούμενες ημέρες, η CISA εξέδωσε και μια δεύτερη εντολή ζητώντας από τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τους ευάλωτους Citrix servers έναντι του σφάλματος CVE-2023-3519, έως τις 9 Αυγούστου. Όπως αποκάλυψαν οι ερευνητές ασφαλείας του Shadowserver Foundation, τουλάχιστον 11.170 συσκευές Citrix Netscaler που εκτίθενται στο διαδίκτυο, είναι πιθανώς ευάλωτες σε επιθέσεις που θα μπορούσαν να χρησιμοποιούν αυτή την ευπάθεια.
Πηγή: www.bleepingcomputer.com