Adobe

アドビは、概念実証(PoC)エクスプロイトコードを使用した ColdFusion の重大な脆弱性に対処するため、帯域外のセキュリティアップデートをリリースした。

月曜日にリリースされたアドバイザリで、同社は、欠陥(CVE-2024-53961として追跡)は、Adobe ColdFusionのバージョン2023と2021に影響を与えるパストラバーサル弱点によって引き起こされ、攻撃者は脆弱なサーバー上の任意のファイルを読み取ることができると述べている。

「アドビは本日、「CVE-2024-53961には、任意のファイルシステムを読み取られる可能性のある既知のプルーフ・オブ・コンセプトがあることを認識しています。

同社は管理者に対し、本日の緊急セキュリティパッチ(ColdFusion 2021 Update 18およびColdFusion 2023 Update 12)を「例えば72時間以内」にできるだけ早くインストールし、ColdFusion 2023およびColdFusion 2021のロックダウンガイドに概説されているセキュリティ構成設定を適用するよう助言している。

アドビは、この脆弱性が悪用されたかどうかについてはまだ明らかにしていないが、安全でないWddxのデシリアライズ攻撃をブロックするための詳細情報については、本日、更新されたシリアル・フィルタのドキュメントを確認するよう顧客に助言した。

CISAが5月にソフトウェア企業に対し、製品を出荷する前にパストラバーサルセキュリティバグを取り除くよう促した際に警告したように、攻撃者はこのような脆弱性を悪用して、すでに存在するアカウントをブルートフォースし、標的のシステムに侵入するために使用できる認証情報を含む、機密データにアクセスすることができる。

ディレクトリ・トラバーサルのような脆弱性は、少なくとも2007年以来、”許されない “と言われてきた。この発見にもかかわらず、(CWE-22やCWE-23のような)ディレクトリ・トラバーサル脆弱性は依然として蔓延している脆弱性のクラスである」とCISAは述べている。

昨年2023年7月にも、CISAは連邦政府機関に対し、攻撃で悪用された2つの重大なセキュリティ欠陥(CVE-2023-29298およびCVE-2023-38205)(うち1つはゼロデイ)に対して、8月10日までにAdobe ColdFusionサーバーを保護するよう命じた。

米国のサイバーセキュリティ機関は1年前にも、ハッカーが2023年6月以降、ColdFusionの別の重大な脆弱性(CVE-2023-26360)を利用して、時代遅れの政府サーバーに侵入していたことを明らかにしている。同じ欠陥は2023年3月以降、ゼロデイとして「非常に限定的な攻撃」に積極的に悪用されていた。