Los actores de amenazas están explotando activamente dos vulnerabilidades en la plataforma Adobe ColdFusion en una serie de ataques cibernéticos, aparentemente después de que los investigadores publicaran accidentalmente una prueba de concepto (PoC) para uno de ellos.
Las dos vulnerabilidades en cuestión son CVE-2023-29298, una falla de omisión de control de acceso, y CVE-2023-38203, una falla de ejecución remota de código, y juntas parecen estar siendo utilizadas para lanzar shells web en instancias vulnerables de ColdFusion en el servicio. de permitir más ataques.
Sin embargo, según Caitlin Condon de Rapid7, que ha estado rastreando las vulnerabilidades y publicó nueva evidencia que detalla la cadena de exploits que se usó a última hora del lunes 17 de julio, parece haber surgido cierta confusión sobre lo que está sucediendo exactamente.
El trasfondo de la cuestión es así. El martes 11 de julio (martes de parches), Adobe publicó correcciones para tres errores en ColdFusion: CVE-2023-29298, CVE-2023-29300 y CVE-2023-29301. De estos, el primero había sido revelado a Adobe por Stephen Fewer de Rapid7 y el segundo por Nicolas Zilio de CrowdStrike (el tercero no es relevante para esta narrativa), pero el 14 de julio, Condon dijo que Rapid7 comenzó a ver ataques en entornos ColdFusion en varios de sus clientes Según sus observaciones, el actor de amenazas en cuestión parecía estar encadenando CVE-2023-29298 con una segunda vulnerabilidad.
El comportamiento exhibido por el atacante sugirió a los observadores de Rapid7 que la segunda vulnerabilidad en la cadena era CVE-2023-38203, que fue corregida por Adobe el viernes 14 de julio en un parche fuera de secuencia después de ser revelada por los investigadores de Project Discovery.
En sus notas de parche, Adobe dijo que también sabía que se había publicado un PoC para CVE-2023-38203. Este PoC parece haber estado contenido en una publicación de blog del 12 de julio ahora eliminada por el equipo del Proyecto Discovery. Sin embargo, esta publicación de blog fue catalogada como un análisis de CVE-2023-29300.
“Es muy probable que Project Discovery pensara que estaba publicando un exploit de día N para CVE-2023-29300 en su publicación de blog del 12 de julio”, dijo Condon. “Adobe [had] publicó una corrección para CVE-2023-29300, que es una vulnerabilidad de deserialización que permite la ejecución de código arbitrario, el 11 de julio, [but] en realidad, lo que Project Discovery había detallado era una nueva cadena de exploits de día cero”.
Lo que parece haber sucedido, dijo Condon, es que el parche para CVE-2023-29300 lo arregló al implementar una lista denegada de clases que no pueden ser deserializados por los datos de Intercambio de datos distribuidos en la web (WDDX) que forman parte de algunas solicitudes. a ColdFusion, probablemente porque eliminar la funcionalidad WDDX por completo rompería muchas cosas.
Ella dijo que Project Discovery evidentemente había encontrado una clase que no estaba en la lista de denegación que podría usarse como un “dispositivo” de deserialización para lograr la ejecución remota de código; 29300 nulo y sin efecto.
“El equipo de Project Discovery probablemente no se dio cuenta de que su descubrimiento era una nueva vulnerabilidad de día cero y (suponemos) eliminó su blog mientras Adobe solucionaba la falla”, dijo.
El parche de Adobe del 14 de julio agrega una ruta de clase a la lista de denegación, rompiendo así la cadena de explotación habilitada por CVE-2023-38203.
Condon agregó que Rapid7 también había determinado que la solución provista para CVE-2023-29298 estaba incompleta y que un exploit modificado de forma trivial aún funcionaba contra las versiones más actualizadas de ColdFusion (esa es la versión con el parche del 14 de julio aplicado).
Rapid7 está en diálogo con Adobe para corregir el parche incompleto, pero afortunadamente debido a que la cadena de explotación observada en la naturaleza depende de la segunda vulnerabilidad para completarse, aplicar el parche del 14 de julio para CVE-2023-38203 será suficiente para mitigar los ataques por ahora. .
Se pueden obtener más datos técnicos sobre la cadena de explotación, incluidos los indicadores de compromiso, a través de Rapid7.
¿Qué es ColdFusion?
Descrito por Adobe como “probado en batalla”, el venerable producto ColdFusion es un servidor de aplicaciones web y una plataforma de desarrollo que data de hace 28 años, desarrollado por los hermanos Joseph y Jeremy Allaire en su empresa homónima Allaire Corporation, que finalmente se convirtió en parte de Adobe en 2005.
Utiliza su propio lenguaje de programación, ColdFusion Markup Language, y entre otros beneficios, Adobe dijo que la plataforma mejora la eficiencia y la productividad general de los desarrolladores, proporciona un entorno seguro para codificar nuevas aplicaciones y permite que las aplicaciones se implementen en la plataforma en la nube más adecuada sin la necesidad de reescrituras de código.
A pesar de su antigüedad, la firma dijo que ColdFusion sigue en uso en aproximadamente el 60% de las organizaciones Fortune 500.