شرکت Adobe بهروزرسانیهای امنیتی خارج از برنامه (اضطراری) را برای رفع یک آسیبپذیری بحرانی در ColdFusion منتشر کرده است که کد اثبات مفهومی (PoC) برای سوءاستفاده از این آسیبپذیری وجود دارد.
در یک اعلان هشدار که روز دوشنبه منتشر شد، این شرکت اعلام میکند که این نقص (با شماره CVE-2024-53961 ردیابی شده است) به دلیل یک ضعف در مکانیزم path traversal به وجود آمده که نسخههای ۲۰۲۳ و ۲۰۲۱ Adobe ColdFusion را تحت تأثیر قرار میدهد و میتواند به مهاجمان اجازه دهد تا فایلهای دلخواه را روی سرورهای آسیبپذیر بخوانند.
Adobe اعلام کرد که از وجود یک کد اثبات مفهومی (PoC) برای CVE-2024-53961 آگاه است، که میتواند باعث خواندن فایلهای دلخواه از سیستم فایل شود. همچنین، این شرکت به مشتریان هشدار داد که این نقص را با درجه اهمیت ‘اولویت ۱’ ارزیابی کرده است، زیرا خطر بالایی دارد که توسط سوءاستفادههایی که در فضای اینترنت وجود دارند، هدف قرار گیرد؛ برای یک نسخه خاص از محصول و پلتفرم.
این شرکت به مدیران (سیستم) توصیه میکند که بهروزرسانیهای امنیتی اضطراری امروز (ColdFusion 2021 Update 18 و ColdFusion 2023 Update 12) را در اسرع وقت نصب کنند، «به عنوان مثال، ظرف ۷۲ ساعت»، و تنظیمات امنیتی که در راهنماهای قفلسازی ColdFusion 2023 و ColdFusion 2021 ذکر شده است، اعمال کنند.
در حالی که Adobe هنوز فاش نکرده است که آیا از این آسیبپذیری در فضای واقعی سوءاستفاده شده است یا خیر، این شرکت امروز به مشتریان توصیه کرد که مستندات بهروزرسانیشده فیلتر سریال آن را بررسی کنند تا اطلاعات بیشتری در مورد مسدود کردن حملات ناامن Wddx deserialization به دست آورند.
همانطور که CISA در ماه مه هشدار داد، زمانی که از شرکتهای نرمافزاری خواست تا قبل از عرضه محصولات خود، حفرههای امنیتی path traversal را حذف کنند، مهاجمان میتوانند از چنین آسیبپذیریهایی برای دسترسی به دادههای حساس، از جمله اطلاعات احراز هویت (credentials) که میتوانند برای حملات brute-force روی حسابهای موجود استفاده شوند و نفوذ به سیستمهای هدف، سوءاستفاده کنند.
همانطور که CISA در ماه مه هشدار داد، زمانی که از شرکتهای نرمافزاری خواست تا قبل از عرضه محصولات خود، حفرههای امنیتی path traversal را حذف کنند، مهاجمان میتوانند از چنین آسیبپذیریهایی برای دسترسی به دادههای حساس، از جمله اطلاعات احراز هویت (credentials) که میتوانند برای حملات brute-force روی حسابهای موجود استفاده شوند و نفوذ به سیستمهای هدف، سوءاستفاده کنند.
آسیبپذیریهایی مانند directory traversal (گذر از دایرکتوری) از حداقل سال ۲۰۰۷ بهعنوان ‘غیرقابلقبول’ شناخته شدهاند. با این حال، با وجود این شناسایی، آسیبپذیریهای directory traversal (مانند CWE-22 و CWE-23) همچنان از دستههای رایج آسیبپذیری هستند.
سال گذشته، در جولای ۲۰۲۳، آژانس CISA همچنین به آژانسهای فدرال دستور داد که تا ۱۰ آگوست، سرورهای Adobe ColdFusion خود را در برابر دو آسیبپذیری امنیتی بحرانی (CVE-2023-29298 و CVE-2023-38205) که در حملات مورد سوءاستفاده قرار گرفته بودند، ایمن کنند؛ یکی از این آسیبپذیریها بهعنوان یک آسیبپذیری روز صفر (zero-day) مورد بهرهبرداری قرار گرفته بود.
آژانس امنیت سایبری ایالات متحده همچنین یک سال پیش فاش کرد که هکرها از یک آسیبپذیری بحرانی دیگر در ColdFusion (CVE-2023-26360) برای نفوذ به سرورهای قدیمی دولتی از ژوئن ۲۰۲۳ استفاده کرده بودند. همین نقص از مارس ۲۰۲۳ بهعنوان یک آسیبپذیری روز صفر (zero-day) در «حملات بسیار محدود» بهطور فعال مورد سوءاستفاده قرار گرفته بود.