Gli utenti ColdFusion farebbero bene a controllare la versione dell’applicazione installata sui propri sistemi e aggiornarla il prima possibile all’ultima disponibile: Adobe, infatti, ha comunicato che due vulnerabilità della sua piattaforma per lo sviluppo Web sono state attivamente sfruttate dagli attori delle minacce in una serie di cyber attacchi.
In particolare, la catena di exploit sarebbe iniziata nella tarda serata di lunedì 17 luglio dopo che un Proof of Concept (PoC) per una di esse è stato involontariamente rilasciato dai ricercatori di sicurezza che la stavano analizzando.
Indice degli argomenti
I dettagli delle vulnerabilità in Adobe ColdFusion
Le due vulnerabilità in questione sono la CVE-2023-29298, che consente di aggirare il controllo degli accessi, e la CVE-2023-38203, di tipo RCE (Remote Code Execution).
Il loro sfruttamento concatenato potrebbe consentire agli attori della minaccia di scaricare e attivare una Web Shell sulle istanze ColdFusion vulnerabili sfruttabile per lanciare ulteriori attacchi.
È importante ricordare che già martedì 11 luglio (data di rilascio del Microsoft Patch Tuesday), Adobe aveva già rilasciato gli aggiornamenti per due vulnerabilità di ColdFusion: CVE-2023-29298 e CVE-2023-29300, la prima rilevata da Stephen Fewer di Rapid7 e la seconda da Nicolas Zilio di CrowdStrike.
Successivamente, a partire dal 14 luglio, il ricercatore di Rapid7 ha iniziato a rilevare diversi attacchi ai danni di istanze ColdFusion in cui veniva sfruttato un concatenamento della CVE-2023-29298 con una seconda vulnerabilità identificata poi nella CVE-2023-38203 che è stata risolta da Adobe lo stesso venerdì 14 luglio con un aggiornamento straordinario “out-of-sequence”.
Nel relativo bollettino di sicurezza, la stessa Adobe ha quindi segnalato di essere a conoscenza della pubblicazione di un PoC per la CVE-2023-38203 in un post del 12 luglio scorso sul blog del team di Project Discovery.
In realtà, il post (ora rimosso) veniva presentato come un’analisi della CVE-2023-29300, una vulnerabilità di deserializzazione che consente l’esecuzione di codice arbitrario su sistemi esposti e già completamente patchata da Adobe.
Quindi, come poi confermato dalla stessa Adobe, l’analisi pubblicata dai ricercatori di Project Discovery era relativa non alla singola CVE-2023-38203 ma a una nuova catena di exploit zero-day.
La catena di attacco sfruttato dagli attori della minaccia
Proviamo, dunque, a capire come gli attori della minaccia sono riusciti a concatenare le due vulnerabilità CVE-2023-29300 e CVE-2023-38203 sfruttandone poi il relativo exploit in attacchi attivi.
Di fatto, come dicevamo, Adobe aveva già corretto la vulnerabilità CVE-2023-29300 con gli aggiornamenti dello scorso 11 luglio. Nel dettaglio, la patch consentiva di implementare un elenco di classi che non possono essere deserializzate dai dati elaborati dal Web Distributed Data eXchange (WDDX) di ColdFusion.
Adobe, dunque, non aveva ritenuto opportuno rimuovere completamente la funzionalità WDDX per non compromettere il corretto funzionamento delle istanze di ColdFusion.
Ed è proprio qui che risiede la debolezza che ha consentito agli attori della minaccia di individuare una classe non presente tra quelle deserializzate che, appunto, potrebbe essere stata sfruttata per ottenere l’esecuzione di codice remoto sulle istanze esposte di ColdFusion.
Il bypass della CVE-2023-29300 è proprio la seconda vulnerabilità CVE-2023-38203 che, quindi, ha annullato l’aggiornamento rilasciato da Adobe.
In realtà, quindi, come dichiarato dalla stessa Adobe, il team di Project Discovery probabilmente non si è reso conto che la sua scoperta era una nuova vulnerabilità zero-day e, per questo, avrebbe cancellato il post dal loro blog mentre veniva corretta la falla di sicurezza.
In particolare, la patch di Adobe del 14 luglio non fa altro che aggiungere un nuovo percorso all’elenco di classi che non possono essere deserializzate, interrompendo così la catena di exploit abilitata dalla vulnerabilità CVE-2023-38203.
Dunque, l’installazione di entrambi gli aggiornamenti per entrambe le vulnerabilità dovrebbe essere al momento sufficiente a mitigare gli attacchi.
