Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers exploram ativamente diversas vulnerabilidades do Adobe ColdFusion

Em 11 de julho, a Adobe coordenou com o fornecedor a correção de diversas vulnerabilidades do ColdFusion, incluindo CVE-2023-29298.

Mas foi relatado que existem duas vulnerabilidades do ColdFusion que os hackers estão explorando ativamente para realizar as seguintes tarefas ilícitas:

  • Ignorar autentica√ß√£o
  • Executar comandos remotamente
  • Instale webshells em servidores vulner√°veis

Rapid7 detectou explora√ß√£o do Adobe ColdFusion em 13 de julho, com agentes de amea√ßas aproveitando ‚ÄúCVE-2023-29298‚ÄĚE uma vulnerabilidade n√£o publicada relacionada rastreada como‚ÄúCVE-2023-38203.‚ÄĚ

Exploração ativa

O Project Discovery divulgou erroneamente uma exploração de n dias para o que eles acreditavam ser CVE-2023-29300mas a Adobe corrigiu isso em uma atualização fora de banda em 14 de julho.

O patch CVE-2023-29300 bloqueia a desserialização de classes específicas nos dados WDDX do ColdFusion, evitando ataques baseados em gadgets sem quebrar as dependências existentes.

Os autores do Project Discovery identificaram um gadget funcional, aproveitando com.sun.rowset.JdbcRowSetImpl para obter execução remota de código, pois não está na lista de bloqueios da Adobe.

O Project Discovery encontrou, sem saber, uma nova falha de dia zero, levando a Adobe a lançar um patch fora de banda em 14 de julho, bloqueando a exploração ao negar o caminho de classe:

Rapid7 encontrado Patch da Adobe para CVE-2023-29298 incompleto, pois um exploit modificado ainda funciona na versão mais recente do ColdFusion. Embora não exista mitigação, a atualização para a versão mais recente que corrige CVE-2023-38203 pode impedir o comportamento observado do invasor.

Produtos afetados

Abaixo, mencionamos as vers√Ķes vulner√°veis ‚Äč‚Äčdo ColdFusion:

  • Atualiza√ß√£o do Adobe ColdFusion 2023 1
  • Atualiza√ß√£o do Adobe ColdFusion 2021 7 e abaixo
  • Adobe ColdFusion 2018 Atualiza√ß√£o 17 e inferior

Vers√Ķes corrigidas do ColdFusion

Abaixo, mencionamos todas as vers√Ķes corrigidas do ColdFusion:

  • Atualiza√ß√£o do Adobe ColdFusion 2023 2
  • Atualiza√ß√£o do Adobe ColdFusion 2021 8
  • Atualiza√ß√£o 18 do Adobe ColdFusion 2018
N√≥s recomendamos:  Ferramenta TeamsPhisher explora falha do Microsoft Teams para enviar malware aos usu√°rios

Mas todas as vers√Ķes mencionadas acima foram corrigidas contra CVE-2023-338203; eles ainda s√£o vulner√°veis ‚Äč‚Äčao CVE-2023-29298.

Os pesquisadores do Rapid7 notaram v√°rias solicita√ß√Ķes POST para usar essa explora√ß√£o nos logs do IIS. Todos foram enviados para ‚Äúaccessmanager.cfc‚ÄĚ.

Regras de detecção

Aqui abaixo, mencionamos todas as regras de detecção:

  • Webshell
  • T√©cnica de Atacante
  • Ferramenta de atacante
  • T√©cnica de Atacante
  • PowerShell
  • Processo Suspeito

Mitigação

Além disso, os analistas de segurança cibernética recomendaram fortemente que todos os usuários do Adobe ColdFusion atualizassem imediatamente sua versão para a mais recente e também bloqueiem o oastify[.]com domínio.

Além disso, considere usar o arquivo serialfilter.txt em /lib para colocar na lista negra pacotes com vulnerabilidades de desserialização, conforme recomendado no comunicado da Adobe de 14 de julho.

COIs

Endereços IP:

  • 62.233.50[.]13
  • 5.182.36[.]4
  • 195.58.48[.]155

Domínios:

  • ostificar[.]com
  • ckeditr[.]cfm (SHA25608D2D815FF070B13A9F3B670B2132989C349623DB2DE154CE43989BB4BBB2FB1)

Table of Contents