شرکت Adobe درباره یک نقص بحرانی در ColdFusion هشدار داد.

شرکت Adobe درباره یک نقص بحرانی در ColdFusion هشدار داد.

شرکت Adobe به‌روزرسانی‌های امنیتی خارج از برنامه (اضطراری) را برای رفع یک آسیب‌پذیری بحرانی در ColdFusion منتشر کرده است که کد اثبات مفهومی (PoC) برای سوءاستفاده از این آسیب‌پذیری وجود دارد.

در یک اعلان هشدار که روز دوشنبه منتشر شد، این شرکت اعلام می‌کند که این نقص (با شماره CVE-2024-53961 ردیابی شده است) به دلیل یک ضعف در مکانیزم path traversal به وجود آمده که نسخه‌های ۲۰۲۳ و ۲۰۲۱ Adobe ColdFusion را تحت تأثیر قرار می‌دهد و می‌تواند به مهاجمان اجازه دهد تا فایل‌های دلخواه را روی سرورهای آسیب‌پذیر بخوانند.

Adobe اعلام کرد که از وجود یک کد اثبات مفهومی (PoC) برای CVE-2024-53961 آگاه است، که می‌تواند باعث خواندن فایل‌های دلخواه از سیستم فایل شود. همچنین، این شرکت به مشتریان هشدار داد که این نقص را با درجه اهمیت ‘اولویت ۱’ ارزیابی کرده است، زیرا خطر بالایی دارد که توسط سوءاستفاده‌هایی که در فضای اینترنت وجود دارند، هدف قرار گیرد؛ برای یک نسخه خاص از محصول و پلتفرم.

این شرکت به مدیران (سیستم) توصیه می‌کند که به‌روزرسانی‌های امنیتی اضطراری امروز (ColdFusion 2021 Update 18 و ColdFusion 2023 Update 12) را در اسرع وقت نصب کنند، «به عنوان مثال، ظرف ۷۲ ساعت»، و تنظیمات امنیتی که در راهنماهای قفل‌سازی ColdFusion 2023 و ColdFusion 2021 ذکر شده است، اعمال کنند.

در حالی که Adobe هنوز فاش نکرده است که آیا از این آسیب‌پذیری در فضای واقعی سوءاستفاده شده است یا خیر، این شرکت امروز به مشتریان توصیه کرد که مستندات به‌روزرسانی‌شده فیلتر سریال آن را بررسی کنند تا اطلاعات بیشتری در مورد مسدود کردن حملات ناامن Wddx deserialization به دست آورند.

همان‌طور که CISA در ماه مه هشدار داد، زمانی که از شرکت‌های نرم‌افزاری خواست تا قبل از عرضه محصولات خود، حفره‌های امنیتی path traversal را حذف کنند، مهاجمان می‌توانند از چنین آسیب‌پذیری‌هایی برای دسترسی به داده‌های حساس، از جمله اطلاعات احراز هویت (credentials) که می‌توانند برای حملات brute-force روی حساب‌های موجود استفاده شوند و نفوذ به سیستم‌های هدف، سوءاستفاده کنند.

همان‌طور که CISA در ماه مه هشدار داد، زمانی که از شرکت‌های نرم‌افزاری خواست تا قبل از عرضه محصولات خود، حفره‌های امنیتی path traversal را حذف کنند، مهاجمان می‌توانند از چنین آسیب‌پذیری‌هایی برای دسترسی به داده‌های حساس، از جمله اطلاعات احراز هویت (credentials) که می‌توانند برای حملات brute-force روی حساب‌های موجود استفاده شوند و نفوذ به سیستم‌های هدف، سوءاستفاده کنند.

آسیب‌پذیری‌هایی مانند directory traversal (گذر از دایرکتوری) از حداقل سال ۲۰۰۷ به‌عنوان ‘غیرقابل‌قبول’ شناخته شده‌اند. با این حال، با وجود این شناسایی، آسیب‌پذیری‌های directory traversal (مانند CWE-22 و CWE-23) همچنان از دسته‌های رایج آسیب‌پذیری هستند.

سال گذشته، در جولای ۲۰۲۳، آژانس CISA همچنین به آژانس‌های فدرال دستور داد که تا ۱۰ آگوست، سرورهای Adobe ColdFusion خود را در برابر دو آسیب‌پذیری امنیتی بحرانی (CVE-2023-29298 و CVE-2023-38205) که در حملات مورد سوءاستفاده قرار گرفته بودند، ایمن کنند؛ یکی از این آسیب‌پذیری‌ها به‌عنوان یک آسیب‌پذیری روز صفر (zero-day) مورد بهره‌برداری قرار گرفته بود.

آژانس امنیت سایبری ایالات متحده همچنین یک سال پیش فاش کرد که هکرها از یک آسیب‌پذیری بحرانی دیگر در ColdFusion (CVE-2023-26360) برای نفوذ به سرورهای قدیمی دولتی از ژوئن ۲۰۲۳ استفاده کرده بودند. همین نقص از مارس ۲۰۲۳ به‌عنوان یک آسیب‌پذیری روز صفر (zero-day) در «حملات بسیار محدود» به‌طور فعال مورد سوءاستفاده قرار گرفته بود.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *