Adobe ColdFusion soffre di una Remote Code Execution in pre-autenticazione. Aggiornare immediatamente

Una vulnerabilità critica di Remote Code Execution (RCE) in pre-auth è stata rilevata su ColdFusion tracciata come CVE-2023-29300 che è sfruttata in attacchi attivi.

Lo ha rivelato Adobe  lo scorso l’11 luglio, attribuendo la scoperta al ricercatore di CrowdStrike Nicolas Zilio.

I dettagli su come viene sfruttata la vulnerabilità sono attualmente sconosciuti, ma la scorsa settimana è stato pubblicato un post sul blog tecnico recentemente rimosso da Project Discovery che contiene un exploit proof-of-concept per CVE-2023-29300.

Quando è stata rivelata per la prima volta, la vulnerabilità non era stata sfruttata ancora.  Secondo il post di Project Discovery, la vulnerabilità deriva dalla deserializzazione non sicura nella libreria WDDX.

“In conclusione, la nostra analisi ha rivelato una significativa vulnerabilità nel processo di deserializzazione di WDDX all’interno di Adobe ColdFusion 2021 (aggiornamento 6)”, spiega il post sul blog di Project Discovery.

“Sfruttando questa vulnerabilità, siamo stati in grado di ottenere l’esecuzione di codice in modalità remota. Il problema derivava da un uso non sicuro dell’API Java Reflection che consentiva l’invocazione di determinati metodi”.

Mentre Adobe consiglia agli amministratori di “bloccare” le installazioni di ColdFusion per aumentare la sicurezza e offrire una migliore difesa contro gli attacchi, i ricercatori hanno avvertito che il CVE-2023-29300 può essere concatenato con il CVE-2023-29298 per aggirare la modalità di blocco.

“Per sfruttare questa vulnerabilità, è necessario l’accesso a un endpoint CFC valido. Tuttavia, se non è possibile accedere direttamente agli endpoint CFC in pre-autenticazione a causa della modalità di blocco di ColdFusion, è possibile combinare questa vulnerabilità con CVE-2023-29298” conclude il resoconto tecnico di Project Discovery.

A causa del suo sfruttamento negli attacchi, si consiglia vivamente agli amministratori di aggiornare ColdFusion all’ultima versione per correggere il difetto il prima possibile.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks