Exploit Chain exploite activement ColdFusion

Sécurité des terminaux , Gouvernance et gestion des risques , Gestion des correctifs

Les attaquants abandonnent Web Shell ; La faille n’est pas corrigée, mais le dernier correctif offre une protection

Mathew J. Schwartz (euroinfosec) •
18 juillet 2023

Avertissement : Les pirates exploitent activement une faille de la plate-forme de développement rapide d’applications Web ColdFusion d’Adobe pour exécuter du code malveillant, ont averti les chercheurs. Alors qu’Adobe tentait de corriger la faille, les attaquants semblent avoir trouvé un moyen d’enchaîner plusieurs failles pour continuer à exploiter la vulnérabilité.

Voir également: JavaScript et Blockchain : des technologies que vous ne pouvez pas ignorer

Entreprise de sécurité Rapide7 a averti qu’il a vu plusieurs cas d’attaquants exploitant cette chaîne de vulnérabilités, leur permettant de contourner les contrôles de sécurité dans ColdFusion et de créer un shell Web.

L’une des vulnérabilités ciblées, désignée CVE-2023-29298, est une faille critique, ce qui signifie qu’elle peut être utilisée par des attaquants pour exécuter du code arbitraire sur un système ciblé. “Un attaquant pourrait tirer parti de cette vulnérabilité pour accéder aux terminaux d’administration CFM et CFC”, faisant référence à deux types différents de composants ColdFusion, qui permettent aux développeurs d’utiliser des techniques de programmation orientées objet dans les pages Web qu’ils génèrent”, selon la base de données nationale sur les vulnérabilités. “L’exploitation de ce problème ne nécessite aucune interaction de l’utilisateur.”

Adobe ostensiblement patché la faille le 11 juillet via un ensemble de mises à jour pour les versions 2018, 2021 et 2023 de ColdFusion.

Les mêmes correctifs ont également tenté de corriger une faille Adobe classée comme importante, qui permet de restreindre à tort les tentatives d’authentification excessives, désignées CVE-2023-29301et une désérialisation critique d’une faille de données non fiable, désignée CVE-2023-29300.

L’équipe de détection et de réponse gérées de Rapid7 indique que, sur la base des attaques dans la nature qu’elle a suivies, le correctif d’Adobe pour CVE-2023-29298 n’a pas réussi à empêcher l’exploitation de la vulnérabilité en conjonction avec une deuxième vulnérabilité, qui semble être un désérialisation d’une faille de données non fiable, désignée CVE-2023-38203. Adobe patché ce bogue via les mises à jour ColdFusion hors bande publiées vendredi.

Les détails sur la façon d’exploiter CVE-2023-38203 semblent avoir été contenus dans un article de blog maintenant supprimé publié par le chercheur en sécurité Harsh Jaiswal de la société de cybersécurité open source Project Discovery, qui a signalé la faille CVE-2023-29300 à Adobe.

Project Discovery a publié son blog mercredi, un jour après qu’Adobe ait publié un correctif destiné à empêcher l’exploitation de CVE-2023-29300. Bien que les détails d’une vulnérabilité activement exploitée restent inconnus, de telles attaques sont décrites comme des exploits zero-day. Une fois que les détails d’une vulnérabilité sont connus, les chercheurs qualifient ces attaques d’exploit n-day.

A travaillé sur cet Adobe Coldfusion RCE avec @iamnoooob. Plonger dans les bases de code Java nous laisse toujours beaucoup d’apprentissage. https://t.co/k46ztAoReB— Harsh Jaiswal (@rootxharsh) 13 juillet 2023

Rapid7 a déclaré que l’équipe Project Discovery – et par extension probablement Adobe – n’avaient pas réalisé que ce qu’ils avaient détaillé dans leur article de blog était un exploit zero-day.

“Il est fort probable que Project Discovery ait pensé qu’ils publiaient un exploit n-day pour CVE-2023-29300 dans leur article de blog du 12 juillet”, déclare Rapid7. “Adobe a publié un correctif pour CVE-2023-29300, qui est une vulnérabilité de désérialisation qui permet l’exécution de code arbitraire, le 11 juillet. En réalité, ce que Project Discovery avait détaillé était une nouvelle chaîne d’exploitation zero-day.”

Adobe a tenté de corriger cette chaîne d’exploit zero-day dans une mise à jour ColdFusion vendredi.

Rapid7 a déclaré que la mise à jour d’Adobe pour corriger CVE-2023-29298 n’a pas résolu le problème et qu'”un exploit trivialement modifié fonctionne toujours contre la dernière version de ColdFusion – publiée le 14 juillet”. Cela dit, le correctif de vendredi semble bloquer la deuxième partie de la chaîne d’exploitation – CVE-2023-29300. Par conséquent, ils recommandent à tous les utilisateurs de ColdFusion d’installer immédiatement la version du 14 juillet pour les protéger jusqu’à ce qu’Adobe publie d’autres correctifs.

“Il n’existe actuellement aucune atténuation pour CVE-2023-29298, mais la chaîne d’exploitation que Rapid7 observe dans la nature repose sur une vulnérabilité secondaire pour une exécution complète sur les systèmes cibles”, déclare Rapid7. “Par conséquent, la mise à jour vers la dernière version disponible de ColdFusion qui corrige CVE-2023-38203 devrait toujours empêcher le comportement des attaquants que notre équipe MDR observe.”