Adobe

アドビは、攻撃に悪用された新しいゼロデイの修正を含む、重大な脆弱性を修正する緊急 ColdFusion セキュリティ アップデートをリリースしました。

本日のアウトオブバンドアップデートの一環として、アドビは 3 つの脆弱性を修正しました。CVE-2023-38204 (評価 9.8) として追跡される重大な RCE、CVE-2023-38205 (評価 7.8) として追跡される重大な不適切なアクセス制御の欠陥、および中程度の不適切なアクセス制御の欠陥は CVE-2023-38206 (評価 5.3) として追跡されています。

CVE-2023-38204 は本日パッチが適用された最も重大な欠陥ですが、リモート コード実行のバグであるため、実際には悪用されませんでした。

ただし、Adobe は、CVE-2023-38205 の欠陥は限定的な攻撃で悪用されたと述べています。

「Adobe は、CVE-2023-38205 が Adobe ColdFusion をターゲットとした限定的な攻撃で悪用されていることを認識しています」と Adobe のセキュリティ情報は説明しています。

CVE-2023-38205 の欠陥は、 CVE-2023-29298の修正パッチ バイパスであり、Rapid7 研究者の Stephen Fewer によって 7 月 11 日に発見された ColdFusion 認証バイパスです。

7 月 13 日、 Rapid7 は、攻撃者が CVE-2023-29298 および CVE-2023-29300/CVE-2023-38203 の欠陥と思われるもののエクスプロイトを連鎖させ、脆弱な ColdFusion サーバーに Web シェルをインストールしてデバイスへのリモート アクセスを取得していることを観察しました

今週月曜日、Rapid7 は CVE-2023-29298 脆弱性の修正が回避される可能性があると判断し、Adobe に公開しました。

「Rapid7の研究者らは7月17日月曜日、Adobeが7月11日にCVE-2023-29298に対して提供した修正は不完全であり、わずかに修正されたエクスプロイトは最新バージョンのColdFusion(7月14日リリース)に対しても依然として機能すると判断した」とRapid7は説明した

「パッチが不完全であることをアドビに通知しました。」

本日、Adobe は、CVE-2023-29298 の修正が CVE-2023-38205 パッチとして APSB23-47 に含まれていることを確認しました。

この脆弱性は ColdFusion サーバーを制御する攻撃に積極的に悪用されているため、Web サイト運営者はできるだけ早く更新プログラムをインストールすることを強くお勧めします。