Adobe a lansat pe 23 decembrie actualizări de securitate urgente pentru ColdFusion 2023 și 2021, cu scopul de a remedia o vulnerabilitate critică, identificată drept CVE-2024-53961. Breșa de securitate permite atacatorilor să acceseze fișiere arbitrare de pe servere vulnerabile printr-un exploit de tip path traversal (traversare director). Pericolul este amplificat de existența unui cod demonstrativ de exploatare (proof-of-concept), iar administratorii IT sunt sfătuiți să aplice patch-urile în termen de 72 de ore.
Adobe ColdFusion este o platformă de dezvoltare rapidă a aplicațiilor web care folosește limbajul de scripting CFML (ColdFusion Markup Language). Este dezvoltată de Adobe Systems și este utilizată pentru a crea aplicații web și servicii dinamice. Platforma este cunoscută pentru simplitatea sa și pentru abilitatea de a construi rapid aplicații complexe.
În ce constă vulnerabilitatea ColdFusion și cum poate fi exploatată?
Vulnerabilitatea apare doar în versiunile 2023 și 2021 ale platformei, unde o configurare necorespunzătoare poate permite atacatorilor să manipuleze căile de acces și să obțină informații sensibile, cum ar fi fișiere de configurare sau baze de date.
Procesul de exploatare al acestei vulnerabilități este relativ direct: un atacator poate folosi tehnici speciale de manipulare a căilor pentru a „păcăli” serverul să acceseze fișiere din afara directorului permis. Este ca și cum „ai avea” o bibliotecă și cineva ar putea să folosească un truc pentru a ajunge la cărțile din depozitul restricționat, nu doar la cele din zona publică.
Adobe a confirmat că vulnerabilitatea poate fi exploatată fără autentificare, ceea ce înseamnă că un atacator nu are nevoie de acces preexistent la server. Într-un anunț oficial, compania spune că această problemă are un risc ridicat de exploatare activă, fiind clasificată cu o prioritate de severitate maximă, „Priority 1”. Compania americană recomandă instalarea imediată a actualizărilor ColdFusion 2023 Update 12 și ColdFusion 2021 Update 18.
Pe lângă aplicarea patch-urilor, Adobe încurajează administratorii să implementeze măsuri suplimentare, cum ar fi:
- Actualizarea setărilor de securitate conform ghidurilor Lockdown pentru ColdFusion 2023 și 2021.
- Revizuirea documentației privind filtrul serial pentru a preveni atacurile bazate pe deserializare nesigură.
- Folosirea celor mai recente versiuni de JDK/JRE pentru a asigura o securitate suplimentară.
Vulnerabilitățile de tip path traversal, precum cea identificată în platforma de dezvoltare a aplicațiilor, au fost adesea exploatate în atacuri cibernetice pentru accesarea datelor sensibile. În trecut, serverele ColdFusion au fost ținta unor atacuri similare, ceea ce demonstrează că acest tip de vulnerabilitate atrage hackerii. În plus, un raport al CISA (Cybersecurity and Infrastructure Security Agency) din SUA a evidențiat că astfel de breșe sunt frecvent utilizate pentru accesarea neautorizată a sistemelor guvernamentale și private.
