CISA a ajouté une vulnérabilité critique impactant les versions 2021 et 2018 d’Adobe ColdFusion à son catalogue de bugs de sécurité exploités dans la nature.

Cette faille critique d’exécution de code arbitraire (CVE-2023-26360) est due à une faiblesse du contrôle d’accès inapproprié, et elle peut être exploitée à distance par des attaquants non authentifiés dans des attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.

Adobe a corrigé la vulnérabilité du serveur d’applications dans ColdFusion 2018 Update 16 et ColdFusion 2021 Update 6 et a déclaré qu’elle était exploitée dans des attaques comme un jour zéro.

« Adobe est conscient que CVE-2023-26360 a été exploité à l’état sauvage dans des attaques très limitées ciblant Adobe ColdFusion », a déclaré la société dans un avis de sécurité publié ce mardi.

Bien que la faille affecte également les installations ColdFusion 2016 et ColdFusion 11, Adobe ne fournit plus de mises à jour de sécurité pour les versions non prises en charge.

Il est conseillé aux administrateurs d’installer les mises à jour de sécurité dès que possible (dans les 72 heures, si possible) et d’appliquer les paramètres de configuration de sécurité décrits dans les guides de verrouillage ColdFusion 2018 et ColdFusion 2021.

Mises à jour de sécurité qualifiées d’urgentes par la CISA et les chercheurs
La CISA a donné à toutes les agences fédérales américaines du pouvoir exécutif civil (FCEB) trois semaines, jusqu’au 5 avril, pour sécuriser leurs systèmes contre les attaques potentielles utilisant les exploits CVE-2023-26360.

Même si la directive opérationnelle contraignante de novembre 2021 (BOD 22-01) à l’origine de l’ordonnance de la CISA ne s’applique qu’aux agences fédérales, toutes les organisations sont fortement invitées à corriger leurs systèmes pour contrecarrer les tentatives d’exploitation qui pourraient cibler leurs réseaux.

« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré la CISA.

Bien qu’Adobe ait également publié un article de blog séparé annonçant les mises à jour de sécurité ColdFusion 2021 et 2018 de mars 2023, il a omis de mentionner que les vulnérabilités de sécurité corrigées étaient également exploitées dans la nature.

Charlie Arehart, l’un des deux chercheurs en sécurité reconnus pour avoir découvert et signalé le bogue CVE-2023-26360, a averti les administrateurs de ColdFusion dans un commentaire sur le blog d’Adobe de l’importance réelle des mises à jour de sécurité et de la nécessité de les corriger de toute urgence.

« Ce correctif de sécurité est bien plus important que ne le suggère le libellé de ce billet de blog et même que ne le suggèrent les notes techniques de mise à jour », a averti Arehart.

« Pour être clair, j’ai personnellement vu les vulnérabilités « exécution de code arbitraire » et « lecture arbitraire du système de fichiers » avoir été perpétrées sur plusieurs serveurs, et c’est grave. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *