عيوب Adobe ColdFusion الحرجة المقيدة بالسلاسل في الهجمات الإلكترونية المستمرة

اثنين من نقاط الضعف في أدوبي كولد فيوجن يتم استغلال المنصة بشكل نشط من قبل الجهات الفاعلة في التهديد في سلسلة من الهجمات الإلكترونية ، على ما يبدو بعد أن تم إصدار دليل على المفهوم (PoC) لأحدهم عن طريق الخطأ للجمهور من قبل الباحثين.

الثغرتان المعنيتان هما CVE-2023-29298 ، عيب تجاوز التحكم في الوصول ، و CVE-2023-38203 ، عيب في تنفيذ التعليمات البرمجية عن بُعد ، ويبدو أنهما يتم استخدامهما معًا لإسقاط قذائف الويب على مثيلات ColdFusion الضعيفة في الخدمة لتمكين المزيد من الهجمات.

ومع ذلك ، وفقًا لـ Caitlin Condon من Rapid7 ، التي كانت تتعقب نقاط الضعف و نشر أدلة جديدة توضح بالتفصيل سلسلة الاستغلال المستخدمة في وقت متأخر من يوم الاثنين 17 يوليو ، بدا أن بعض الالتباس قد نشأ بشأن ما يجري بالضبط.

وهكذا يتم تشغيل خلفية القضية. في يوم الثلاثاء 11 يوليو (يوم الثلاثاء التصحيح) ، أصدرت Adobe إصلاحات لثلاثة أخطاء في ColdFusion – CVE-2023-29298 و CVE-2023-29300 و CVE-2023-29301. من بين هؤلاء ، تم الكشف عن الأول لـ Adobe بواسطة Stephen Fewer من Rapid7 والثاني بواسطة CrowdStrike’s Nicolas Zilio (الثالث ليس له صلة بهذه الرواية) ، ولكن في 14 يوليو ، قال كوندون أن Rapid7 بدأ في رؤية هجمات على بيئات ColdFusion في العديد من عملائها. بناءً على ملاحظاته ، يبدو أن الفاعل المعني بالتهديد يربط CVE-2023-29298 بثغرة ثانية.

أشار السلوك الذي أظهره المهاجم لمراقبي Rapid7 إلى أن الثغرة الثانية في السلسلة كانت CVE-2023-38203 ، والتي كانت تم إصلاحه بواسطة Adobe يوم الجمعة 14 يوليو في رقعة خارج التسلسل بعد الكشف عنها من قبل الباحثين في اكتشاف المشروع.

في ملاحظات التصحيح الخاصة بها ، قالت Adobe إنها كانت على علم أيضًا بنشر PoC لـ CVE-2023-38203. يبدو أن PoC قد تم احتواؤه في مشاركة مدونة بتاريخ 12 تموز (يوليو) تمت إزالتها الآن بواسطة فريق Project Discovery. لكنو تم وصف منشور المدونة هذا بأنه تحليل CVE-2023-29300.

قال كوندون: “من المحتمل جدًا أن تكون Project Discovery قد اعتقدت أنها تنشر استغلال N-day لـ CVE-2023-29300 في مدونتها في 12 يوليو”. “أدوبي [had] نشر إصلاحًا لـ CVE-2023-29300 ، وهو ثغرة أمنية لإلغاء التسلسل تسمح بتنفيذ تعليمات برمجية عشوائية ، في 11 يوليو ، [but] في الواقع ، ما وصفه Project Discovery كان سلسلة جديدة من عمليات الاستغلال في يوم الصفر “.

قال كوندون إن ما حدث على ما يبدو هو أن التصحيح الخاص بـ CVE-2023-29300 قد أصلحه من خلال تنفيذ قائمة رفض للفئات التي لا يمكن إلغاء تسلسلها بواسطة بيانات تبادل البيانات الموزعة على الويب (WDDX) التي تشكل جزءًا من بعض الطلبات إلى ColdFusion – على الأرجح لأن إزالة وظيفة WDDX بالكامل سيؤدي إلى كسر الكثير من الأشياء.

قالت إن Project Discovery قد وجد بوضوح فئة غير مدرجة في قائمة الرفض يمكن استخدامها “كأداة” لإلغاء التسلسل لتحقيق تنفيذ التعليمات البرمجية عن بُعد – وهذا التجاوز هو CVE-2023-38203 ، مما أدى إلى إصلاح CVE-2023- 29300 باطلة وباطلة.

وقالت: “ربما لم يدرك فريق Project Discovery أن اكتشافهم كان ثغرة جديدة في يوم الصفر و (نفترض) حذف مدونتهم بينما قامت Adobe بإصلاح الخلل”.

يضيف تصحيح Adobe في 14 يوليو مسارًا واحدًا للفئة إلى قائمة الرفض ، وبالتالي كسر سلسلة الاستغلال التي تم تمكينها بواسطة CVE-2023-38203.

أضاف كوندون أن Rapid7 قد حدد بالإضافة إلى ذلك أن الإصلاح المقدم لـ CVE-2023-29298 غير مكتمل وأن ثغرة معدلة بشكل طفيف لا تزال تعمل ضد أحدث إصدارات ColdFusion (وهي النسخة المطبقة مع تصحيح 14 يوليو).

يجري Rapid7 حوارًا مع Adobe لإصلاح التصحيح غير المكتمل ، ولكن لحسن الحظ ، نظرًا لأن سلسلة الاستغلال التي لوحظت في البرية تعتمد على الثغرة الأمنية الثانية حتى تكتمل ، فإن تطبيق تصحيح 14 يوليو لـ CVE-2023-38203 سيكون كافيًا لتخفيف الهجمات في الوقت الحالي .

المزيد من البيانات الفنية حول سلسلة إكسبلويت ، بما في ذلك مؤشرات الاختراق ، يمكن الحصول عليها عبر Rapid7.

اقرأ المزيد عن أمن تطبيقات الويب

• 
  

  استغل الممثل الذي يتخذ من روسيا مقراً له مكتب يوم الصفر غير المسبوق

  بواسطة: أرييل والدمان

• 
  

  مستخدمو Microsoft في حالة تأهب قصوى بسبب RCE Zero-day الخطير

  بواسطة: أليكس سكروكستون

• 
  

  لا توجد أيام صفرية لثلاثاء يونيو التصحيح ، ولكن هناك الكثير لمضغه

  بواسطة: أليكس سكروكستون

• 
  

  تحذر Fortinet من احتمال تعرض ثغرة أمنية خطيرة في VPN للهجوم

  بواسطة: أرييل والدمان