Adobe a publié une mise à jour de sécurité ColdFusion d’urgence qui corrige des vulnérabilités critiques, y compris un correctif pour un nouveau zero-day exploité dans les attaques.
Dans le cadre de la mise à jour hors bande d’aujourd’hui, Adobe a corrigé trois vulnérabilités : un RCE critique suivi comme CVE-2023-38204 (cote 9,8), une faille critique de contrôle d’accès impropre suivi comme CVE-2023-38205 (cote 7,8) et une faille modérée de contrôle d’accès impropre suivi comme CVE-2023-38206 (note 5,3).
Bien que CVE-2023-38204 soit la faille la plus critique corrigée aujourd’hui, en tant que bogue d’exécution de code à distance, elle n’a pas été exploitée dans la nature.
Cependant, Adobe affirme que la faille CVE-2023-38205 a été exploitée lors d’attaques limitées.
« Adobe est conscient que CVE-2023-38205 a été exploité à l’état sauvage dans des attaques limitées ciblant Adobe ColdFusion », explique le bulletin de sécurité d’Adobe.
La faille CVE-2023-38205 est un contournement de correctif pour le correctif de CVE-2023-29298, un contournement d’authentification ColdFusion découvert par les chercheurs de Rapid7 Stephen Fewer le 11 juillet.
Le 13 juillet, Rapid7 a observé des attaquants enchaînant des exploits pour le CVE-2023-29298 et ce qui semblait être les failles CVE-2023-29300/CVE-2023-38203 pour installer des webshells sur des serveurs ColdFusion vulnérables afin d’accéder à distance aux appareils.
Ce lundi, Rapid7 a déterminé que le correctif de la vulnérabilité CVE-2023-29298 pouvait être contourné et l’a divulgué à Adobe.
« Les chercheurs de Rapid7 ont déterminé le lundi 17 juillet que le correctif fourni par Adobe pour CVE-2023-29298 le 11 juillet est incomplet et qu’un exploit modifié de manière triviale fonctionne toujours contre la dernière version de ColdFusion (publiée le 14 juillet) », a expliqué Rapid7.
« Nous avons informé Adobe que leur correctif est incomplet. »
Aujourd’hui, Adobe a confirmé à Breachtrace que le correctif pour CVE-2023-29298 est inclus dans APSB23-47 en tant que correctif CVE-2023-38205.
Comme cette vulnérabilité est activement exploitée dans des attaques pour prendre le contrôle des serveurs ColdFusion, il est fortement recommandé aux opérateurs de sites Web d’installer la mise à jour dès que possible.