Adobe logo

アドビは、CVE-2023-29300 として追跡されている ColdFusion の事前認証リモート コード実行の重大な脆弱性が攻撃に積極的に悪用されていると警告しています。

アドビが脆弱性を公開 7 月 11 日に、この発見は CrowdStrike 研究者の Nicolas Zilio によるものであると発表されました。

CVE-2023-29300 は、認証されていない訪問者が複雑さの低い攻撃で脆弱な Coldfusion 2018、2021、および 2023 サーバー上でリモートからコマンドを実行するために使用される可能性があるため、重大度 9.8 でクリティカルと評価されています。

最初に公開されたとき、この脆弱性は実際には悪用されていませんでした。ただし、同様の CVE-2023-38203 RCE 欠陥に関する電子メール通知の一環として、Adobe は CVE-2023-29300 が攻撃に悪用されたことが確認されたことも明らかにしました。

が確認した電子メール通知には、「Adobe は、CVE-2023-29300 が Adobe ColdFusion をターゲットとした非常に限定的な攻撃で悪用されていることを認識しています」と書かれています。

この脆弱性が悪用される方法の詳細は現在不明ですが、Project Discovery によって最近削除された技術ブログ投稿が先週公開され、CVE-2023-29300 の概念実証エクスプロイトが含まれています。

Project Discovery の現在削除されたブログ投稿によると、この脆弱性は WDDX ライブラリの安全でない逆シリアル化に起因するとのことです。

「結論として、私たちの分析により、Adobe ColdFusion 2021 (Update 6) 内の WDDX デシリアライゼーション プロセスに重大な脆弱性があることが明らかになりました」と Project Discovery のブログ投稿では説明されています。

「この脆弱性を悪用することで、リモートでコードを実行することができました。この問題は、特定のメソッドの呼び出しを許可する Java Reflection API の安全でない使用に起因していました。」

アドビは、管理者がセキュリティを強化し、攻撃に対する防御を強化するために ColdFusion インストールを「ロックダウン」することを推奨していますが、研究者らは、CVE-2023-29300 を CVE-2023-29298 と連鎖させてロックダウン モードをバイパスできる可能性があると警告しました。

「この脆弱性を悪用するには、通常、有効な CFC エンドポイントにアクセスする必要があります。ただし、ColdFusion ロックダウン モードによりデフォルトの認証前 CFC エンドポイントに直接アクセスできない場合は、この脆弱性と CVE-2023-29298 が組み合わされる可能性があります。 」と Project Discovery の技術記事は締めくくられています。

「この組み合わせにより、ロックダウン モードで構成されている場合でも、脆弱な ColdFusion インスタンスに対するリモート コード実行が可能になります。」

攻撃に悪用されるため、管理者は、ColdFusion を最新バージョンにアップグレードして、できるだけ早く欠陥にパッチを適用することを強くお勧めします。

積極的な悪用について詳しく知るために週末に CrowdStrike に連絡しましたが、Adobe に紹介されました。アドビはまだ私たちの電子メールに返答していません。

この記事の執筆時点では、アドビは電子メールに返答していません。