2023 年 7 月 17 日更新: Adobe が電子メール通知に誤った警告を追加したため、記事が更新されました。ただし、このバグの新しいバージョンが積極的に悪用されていることが Rapid7 によって確認されました。
ハッカーは、ColdFusion の 2 つの脆弱性を積極的に悪用して、認証を回避し、脆弱なサーバーに Web シェルをインストールするコマンドをリモートで実行しています。
Rapid7 の研究者は、この活発な悪用を確認しました。Rapid7 によると、攻撃者は、アクセス制御バイパスの脆弱性 (CVE-2023-29298) と、重大なリモート コード実行の脆弱性である CVE-2023-38203 と思われる脆弱性の悪用を連鎖させているとのことです。
パッチのバイパス
7 月 11 日、 Adobe は、Rapid7 研究者の Stephen Fewer によって発見された CVE-2023-29298 として追跡された ColdFusion 認証バイパスと、CrowdStrike 研究者の Nicolas Zilio によって発見されたCVE-2023-29300として追跡された認証前 RCE 脆弱性を公開しました。
CVE-2023-29300 は、深刻度 9.8 でクリティカルと評価されている逆シリアル化の脆弱性です。これは、認証されていない訪問者が、複雑さの低い攻撃で脆弱な Coldfusion 2018、2021、および 2023 サーバー上でリモートからコマンドを実行するために使用される可能性があるためです。
この脆弱性は当時悪用されていませんでしたが、最近削除された Project Discovery による技術ブログ投稿が 7 月 12 日に公開され、CVE-2023-29300 の概念実証エクスプロイトが含まれていました。
Project Discovery の現在削除されたブログ投稿によると、この脆弱性は WDDX ライブラリの安全でない逆シリアル化に起因するとのことです。
「結論として、私たちの分析により、Adobe ColdFusion 2021 (Update 6) 内の WDDX デシリアライゼーション プロセスに重大な脆弱性があることが明らかになりました」と Project Discovery のブログ投稿では説明されています。
「この脆弱性を悪用することで、リモートでコードを実行することができました。この問題は、特定のメソッドの呼び出しを許可する Java Reflection API の安全でない使用に起因していました。」
Rapid7 によると、Adobe は、悪意のあるガジェット チェーンの作成を防ぐために Web Distributed Data eXchange (WDDX) ライブラリの拒否リストを追加することでこの脆弱性を修正したとのことです。
「アドビは、この WDDX 機能を完全に削除することはできないでしょう。そうすることで、この機能に依存しているすべての機能が壊れてしまうため、WDDX データの逆シリアル化を禁止する代わりに、逆シリアル化できない Java クラス パスの拒否リストを実装します (攻撃者は、これらのクラスパスにある逆シリアル化ガジェットを指定します)」とRapid7 のレポートでは説明されています。
7 月 14 日、アドビは、Project Discovery が発見したCVE-2023-38203のアウトオブバンド セキュリティ アップデートをリリースしました。
Rapid7 は、研究者らがリモート コード実行を実現するために使用可能なガジェット チェーンを発見したため、この脆弱性が CVE-2023-29300 の欠陥を回避すると考えています。
Adobe の OOB セキュリティ アップデートでは、ガジェットが「com.sun.rowset」を経由するのを防ぐために拒否リストが再度更新されます。 JdbcRowSetImpl’ クラス。これは、Project Discover の PoC エクスプロイトで使用されたクラスです。
残念ながら、この脆弱性は修正されたようですが、Rapid7 は、CVE-2023-29298 の欠陥の修正がまだバイパスできることを今日発見したと述べているため、Adobe による別のパッチがすぐに提供されることを期待する必要があります。
攻撃に悪用される
アドビでは、セキュリティを強化し、攻撃に対する防御を強化するために、管理者が ColdFusion インストールをロックダウンすることをお勧めします。
ただし、Project Discovery の研究者は、CVE-2023-29300 (およびおそらく CVE-2023-38203) が CVE-2023-29298 と連鎖してロックダウン モードをバイパスする可能性があると警告しました。
「この脆弱性を悪用するには、通常、有効な CFC エンドポイントにアクセスする必要があります。ただし、ColdFusion ロックダウン モードによりデフォルトの認証前 CFC エンドポイントに直接アクセスできない場合は、この脆弱性と CVE-2023-29298 が組み合わされる可能性があります。 」と Project Discovery の技術記事は締めくくられています。
「この組み合わせにより、ロックダウン モードで構成されている場合でも、脆弱な ColdFusion インスタンスに対するリモート コード実行が可能になります。」
今日、Rapid7 は、技術文書が公開された翌日の 7 月 13 日に、CVE-2023-29298 の欠陥と、Project Discovery の文書で実証されたエクスプロイトと思われる攻撃者によるチェーンエクスプロイトを確認し始めたと述べています。
攻撃者はこれらのエクスプロイトを利用してセキュリティを回避し、脆弱な ColdFusion サーバーに Web シェルをインストールしてデバイスへのリモート アクセスを取得します。
これらの Web シェルは次のフォルダーにあります。
.ColdFusion11cfusionwwwrootCFIDEckeditr.cfm
Rapid7 は、現時点では CVE-2023-29298 を完全に修正するパッチは存在しないと述べていますが、このエクスプロイトには CVE-2023-38203 などの 2 番目の脆弱性が必要です。したがって、最新の ColdFusion バージョンをインストールすると、エクスプロイト チェーンを防止できます。
「したがって、CVE-2023-38203 を修正した最新の利用可能な ColdFusion バージョンに更新しても、MDR チームが観察している攻撃者の行動を防ぐことができるはずです」と Rapid7 はアドバイスしています。
攻撃に悪用されるため、管理者は、ColdFusion を最新バージョンにアップグレードして、できるだけ早く欠陥にパッチを適用することを強くお勧めします。
23 年 7 月 17 日: Rapid7 と Adobe からの情報で記事が更新され、CVE-2023-29300 が悪用されたと誤って警告したことが記載されています。
Comments