A CISA alerta sobre a vulnerabilidade do Adobe ColdFusion explorada como um zero-day
16 de Março de 2023

A CISA adicionou uma vulnerabilidade crítica que afeta as versões 2021 e 2018 do Adobe ColdFusion ao seu catálogo de bugs de segurança explorados.

Essa falha crítica de execução de código arbitrário ( CVE-2023-26360 ) ocorre devido a uma fraqueza de controle de acesso impróprio e pode ser explorada remotamente por atacantes não autenticados em ataques de baixa complexidade que não requerem interação do usuário.

A Adobe resolveu a vulnerabilidade do servidor de aplicativos no ColdFusion 2018 Update 16 e no ColdFusion 2021 Update 6 e disse que foi explorada em ataques como um zero-day.

A empresa disse em um aviso de segurança emitido nesta terça-feira que está ciente de que o CVE-2023-26360 foi explorado em ataques muito limitados direcionados ao Adobe ColdFusion.

Embora a falha também afete as instalações do ColdFusion 2016 e do ColdFusion 11, a Adobe não fornece mais atualizações de segurança para versões sem suporte.

Administradores são aconselhados a instalar as atualizações de segurança o mais rápido possível (dentro de 72 horas, se possível) e aplicar as configurações de segurança descritas nos guias de bloqueio do ColdFusion 2018 e do ColdFusion 2021.

A CISA classificou as atualizações de segurança como urgentes e alertou os pesquisadores.

A CISA deu a todos os órgãos civis executivos federais dos EUA três semanas, até 5 de abril, para proteger seus sistemas contra possíveis ataques usando explorações CVE-2023-26360 .

Embora a diretiva operacional obrigatória (BOD 22-01) de novembro de 2021 por trás da ordem da CISA se aplique apenas às agências federais, todas as organizações são fortemente instadas a corrigir seus sistemas para impedir tentativas de exploração que possam visar suas redes.

A CISA disse: "Esses tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos mal-intencionados e representam riscos significativos para a empresa federal".

Embora a Adobe também tenha publicado uma postagem de blog separada anunciando as atualizações de segurança de março de 2023 do ColdFusion 2021 e 2018, ela não mencionou que as vulnerabilidades de segurança corrigidas também foram exploradas.

Charlie Arehart, um dos dois pesquisadores de segurança creditados por descobrir e relatar o bug CVE-2023-26360 , alertou os administradores do ColdFusion em um comentário na postagem do blog da Adobe sobre a importância real das atualizações de segurança e a necessidade de corrigi-las com urgência.

"Essa correção de segurança é muito mais importante do que a redação desta postagem no blog sugere e até mesmo do que as notas técnicas de atualização sugeririam", alertou Arehart.

"Para ser claro, pessoalmente vi as vulnerabilidades de 'execução de código arbitrário' e 'leitura arbitrária do sistema de arquivos' terem sido perpetradas em vários servidores e é grave".

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...