Adobe ha rilasciato altri aggiornamenti di emergenza per correggere altre tre vulnerabilità critiche in ColdFusion: tra queste, anche una nuova zero-day che risulta essere attivamente sfruttata in attacchi in rete.
In particolare, gli aggiornamenti “out-of-band” di oggi riguardano i seguenti problemi di sicurezza:
- CVE-2023-38204, una vulnerabilità critica RCE (Remote Code Execution) con indice di gravità CVSS di 9,8;
- CVE-2023-38205, una vulnerabilità critica in Improper Access Control con indice di gravità CVSS di 7,8;
- CVE-2023-38206, un’altra vulnerabilità con un indice di gravità moderato (CVSS di 5,3) in Improper Access Control (valutazione 5,3).
Dai dettagli comunicati finora, tutte e tre le vulnerabilità sembrerebbero essere correlate alle altre tre vulnerabilità già corrette nei giorni scorsi in ColdFusion.
Adobe ColdFusion, scoperte vulnerabilità critiche già sfruttate in attacchi: aggiornamento urgente
Indice degli argomenti
I dettagli delle nuove vulnerabilità in ColdFusion
Delle tre nuove vulnerabilità identificate in ColdFusion, la piattaforma per lo sviluppo Web di Adobe, quella che desta più preoccupazione tra gli esperti di sicurezza è la CVE-2023-38205, in quanto risulta essere già sfruttata attivamente in rete, così come riportato nel relativo bollettino di sicurezza.
Il suo exploit potrebbe consentire ad un eventuale aggressore di bypassare i meccanismi di sicurezza sui dispositivi interessati.
Dai dettagli tecnici pubblicati finora si evince che, negli attacchi attivi documentati, la CVE-2023-38205 è stata usata come bypass della patch rilasciata da Adobe lo scorso 11 luglio per correggere la vulnerabilità CVE-2023-29298.
Come abbiamo ricostruito in un nostro precedente articolo, lo scorso 13 luglio i ricercatori di sicurezza di Rapid7 hanno osservato le attività di attori della minaccia in cui venivano concatenati gli exploit della vulnerabilità CVE-2023-29298 con quelle che, ad una prima analisi, sembravano essere gli exploit di altre due vulnerabilità, la CVE-2023-29300 e la CVE-2023-38203: lo scopo degli aggressori era quello di installare Web Shell sui server ColdFusion vulnerabili per ottenere l’accesso remoto ai dispositivi esposti.
Quindi, i ricercatori hanno segnalato direttamente ad Adobe che la patch della vulnerabilità CVE-2023-29298 poteva essere aggirata.
La nuova patch inclusa nel bollettino inclusa nel bollettino di sicurezza APSB23-47 relativo alla CVE-2023-38205 consente, appunto, di correggere definitivamente la CVE-2023-29298,
Come mitigare il rischio di un attacco
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto della vulnerabilità CVE-2023-38205 è grave/rosso (79,23/100).
Le versioni di ColdFusion affette dalle nuove vulnerabilità corrette con gli aggiornamenti di sicurezza sono le seguenti:
- Adobe ColdFusion 2018, versioni precedenti all’Update 19;
- Adobe ColdFusion 2021, versioni precedenti all’Update 9;
- Adobe ColdFusion 2023, versioni precedenti all’Update 3.
Visto lo sfruttamento attivo della vulnerabilità zero-day CVE-2023-38205 in ColdFusion, il consiglio è ovviamente quello di installare il prima possibile l’aggiornamento reso disponibile da Adobe.
