聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
黑客正在活跃利用两个 ColdFusion 漏洞绕过认证并远程执行命令,在易受攻击的服务器上安装 webshell。
Rapid 7 公司的安全研究员表示,威胁行动者正在组合利用访问控制漏洞CVE-2023-29298和严重的RCE漏洞CVE-2023-38203 发动攻击。
绕过补丁
7月11日,Adobe 披露了由 Rapid 7 研究员 Stephen Fewer 发现的ColdFusion 认证绕过漏洞CVE-2023-29298和由CrowdStrike 公司研究员 Nicolas Zilio 发现的预认证 RCE 漏洞CVE-2023-29300。
CVE-2023-29300是一个反序列化漏洞,CVSS 评分为9.8,可被未认证访客在复杂度低的攻击中,在易受攻击的 Coldfusion 2018、2021和2023版本上远程执行命令。
虽然当时漏洞并未遭利用,但Project Discovery 团队在7月12日发布且已删除的文章中包含对CVE-2023-29300漏洞的 PoC 利用。该文章指出,漏洞是因为 WDDX 库中的不安全反序列化漏洞引发的。该文章指出,“我们的分析结果在 Adobe ColdFusion 2021 (Update 6) 的 WDDX 反序列化进程中发现了一个严重漏洞。我们可利用该漏洞实现远程代码执行后果。该问题源自使用了不安全的 Java Reflection API,可导致调用某些方法。”
Rapid 7 公司指出,Adobe 公司为 WDDX 库增加了一封拒绝清单,阻止创造恶意工具链,修复了该漏洞,“Adobe 可能无法完全删除该 WDDX 功能,因为删除会攻破依赖于该功能的所有东西,因此他们并没有禁用 WDDX 数据的反序列化而是执行了无法被反序列化的 Java 类路径的拒绝清单,从而使攻击者无法指定位于这些类路径中的反序列化工具。”
7月14日,Adobe 为CVE-2023-38203发布带外安全更新。Rapid 7 研究人员认为该漏洞绕过了CVE-2023-29300,他们发现了可用的工具链可实现远程代码执行。Adobe 再次发布带外安全更新,更新了该拒绝清单以阻止工具通过 “com.sun.rowset.JdbcRowSetImpl” 类,而该类用于 Project Discovery 的 PoC 利用中。
遗憾的是,虽然该漏洞似乎已被修复,但 Rapid 7 公司指出他们发现CVE-2023-29298 的补丁仍可绕过,因此Adobe 后续应该还会再次发布补丁。
已遭利用
Adobe 公司建议管理员“锁定” ColdFusion 安装程序,提升安全性并更好地防御攻击。
然而,Project Discovery 的研究员提醒称,CVE-2023-29300(以及可能还有CVE-2023-38203)可与CVE-2023-29298组合利用,绕过锁定模式。他们在文章中指出,“要利用该漏洞,一般需要访问合法的CFC端点。然而,如果由于 ColdFusion 锁定模式的原因无法直接访问默认的 CFC 端点,则可组合该漏洞和CVE-2023-29298。这种组合可对易受攻击的 ColdFusion 实例实施远程代码执行,即使是在锁定模式下的配置也不例外。”
Rapid 7 公司指出,Project Discovery 的文章发布一天后就看到攻击者使用CVE-2023-29298的利用和文章中演示过的利用。攻击者通过这些利用来绕过安全并在易受攻击的 ColdFusion 服务器上安装 webshell,获得对设备的远程访问权限。这些 webshell 可见于如下文件夹:.\ColdFusion11\cfusion\wwwroot\CFIDE\ckeditr.cfm。
虽然 Rapid7 表示目前尚未完全修复 CVE-2023-29298,但该利用的事实需要组合利用CVE-2023-38203等漏洞,因此安装最新版本的 ColdFusion 将阻止该利用链。Rapid 7 公司提到,“因此,更新至修复了CVE-2023-38203的 ColdFusion 最新版本应该能够阻止 MDR 团队看到的攻击者行为。”
鉴于已遭利用,强烈建议管理员将 ColdFusion 升级至最新版本,尽快修复漏洞。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
CISA紧急提醒:Adobe ColdFusion漏洞已遭在野利用
厂商纷纷主动绕过Adobe发布的CVE-2022-24086安全补丁
奥利地公司利用Windows 和 Adobe 0day 攻击欧洲和中美洲实体
Adobe 修复Commerce 和 Magento 平台中的又一个严重RCE
十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击
原文链接
https://www.bleepingcomputer.com/news/security/critical-coldfusion-flaws-exploited-in-attacks-to-drop-webshells/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~