Adobe avertit qu’une vulnérabilité critique de l’exécution du code à distance de pré-authentification Coldfusion Coldfusion suivie car CVE-2023-29300 est activement exploitée dans les attaques.
Adobe a révélé la vulnérabilité le 11 juillet, attribuant la découverte au chercheur en crowdsstrike Nicolas Zilio.
Le CVE-2023-29300 est considéré comme critique avec une cote de gravité de 9,8, car il peut être utilisé par les visiteurs non authentifiés pour exécuter à distance des commandes sur les serveurs vulnérables Coldfusion 2018, 2021 et 2023 dans des attaques à faible complexité.
Lorsqu’il a révélé pour la première fois, la vulnérabilité n’avait pas été exploitée dans la nature. Cependant, dans le cadre d’une notification par e-mail pour un défaut RCE CVE-2023-38203 similaire, Adobe a également révélé que le CVE-2023-29300 a été vu exploité dans les attaques.
« Adobe est conscient que CVE-2023-29300 a été exploité dans la nature dans des attaques très limitées ciblant Adobe Coldfusion », lit une notification par e-mail vue par BleepingComputer.
Bien que les détails de la façon dont la vulnérabilité est exploitée soit actuellement inconnue, un article de blog technique récemment réalisé de Project Discovery a été publié la semaine dernière qui contient un exploit de preuve de concept pour CVE-2023-29300.
Selon le billet de blog maintenant rémunéré de Project Discovery, la vulnérabilité découle de la désérialisation insécurité dans la bibliothèque WDDX.
« En conclusion, notre analyse a révélé une vulnérabilité significative dans le processus de désérialisation du WDDX au sein d’Adobe Coldfusion 2021 (mise à jour 6) », explique le blog du projet Discovery.
« En exploitant cette vulnérabilité, nous avons pu réaliser une exécution de code distante. Le problème découle d’une utilisation dangereuse de l’API de réflexion Java qui a permis l’invocation de certaines méthodes. »
Alors qu’Adobe recommande que les admins «verrouillent» les installations de Coldfusion pour accroître la sécurité et offrir une meilleure défense contre les attaques, les chercheurs ont averti que le CVE-2023-29300 peut être enchaîné avec le CVE-2023-29298 pour contourner le mode de verrouillage.
« Pour exploiter cette vulnérabilité, généralement, l’accès à un point de terminaison CFC valide est nécessaire. Cependant, si les points de terminaison CFC pré-AUTH par défaut ne sont pas accessibles directement en raison du mode de verrouillage ColdFusion, il est possible de combiner cette vulnérabilité avec CVE-2023-29298 , « conclut le rédaction technique de Project Discovery.
« Cette combinaison permet l’exécution de code distant par rapport à une instance Coldfusion vulnérable, même lorsqu’elle est configurée en mode verrouillé. »
En raison de son exploitation dans les attaques, il est fortement conseillé aux administrateurs de mettre à niveau Coldfusion vers la dernière version pour corriger la faille dès que possible.
BleepingComputer a contacté Crowdstrike au cours du week-end pour en savoir plus sur l’exploitation active, mais a été référé à Adobe. Adobe n’a pas encore répondu à nos e-mails.
Adobe n’a pas répondu à nos e-mails au moment de la rédaction de cet article.