CISA は、Adobe ColdFusion バージョン 2021 および 2018 に影響を与える重大な脆弱性を、実際に悪用されているセキュリティ バグのカタログに追加しました。
この重大な任意コード実行の欠陥 (CVE-2023-26360) は、 不適切なアクセス制御の脆弱性が原因であり、ユーザーの操作を必要としない低複雑度の攻撃で、認証されていない攻撃者によってリモートで悪用される可能性があります。
Adobe は、ColdFusion 2018 Update 16 および ColdFusion 2021 Update 6 のアプリケーション サーバーの脆弱性に対処し、ゼロデイ攻撃で悪用されたと述べました。
「Adobe は、CVE-2023-26360 が、Adobe ColdFusion を標的とする非常に限定的な攻撃で悪用されていることを認識しています」と、同社は今週火曜日に発行されたセキュリティ アドバイザリで述べています。
この脆弱性は ColdFusion 2016 および ColdFusion 11 のインストールにも影響しますが、アドビはサポート対象外のバージョンのセキュリティ アップデートを提供しなくなりました。
管理者は、できるだけ早く (可能であれば 72 時間以内に) セキュリティ更新プログラムをインストールし、 ColdFusion 2018およびColdFusion 2021ロックダウン ガイドに記載されているセキュリティ構成設定を適用することをお勧めします。
CISA、研究者によって緊急としてタグ付けされたセキュリティ更新プログラム
CISA は、CVE-2023-26360 エクスプロイトを使用した潜在的な攻撃からシステムを保護するために、 4 月 5 日までの3 週間をすべての米国連邦文民行政機関 (FCEB) 機関に与えました。
CISA の命令の背後にある 2021 年 11 月の拘束力のある運用指令 (BOD 22-01) は連邦機関にのみ適用されますが、すべての組織は、システムにパッチを適用して、ネットワークを標的とする可能性のある悪用の試みを阻止するよう強く求められます。
「これらのタイプの脆弱性は、悪意のあるサイバー アクターによる頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と CISA は述べています。
アドビは、ColdFusion 2021 および 2018 の 2023 年 3 月のセキュリティ アップデートを発表する別のブログ投稿も公開しましたが、パッチが適用されたセキュリティの脆弱性が実際に悪用されたことについては言及していませんでした。
CVE-2023-26360 バグを発見して報告したことで知られる 2 人のセキュリティ研究者の 1 人である Charlie Arehart は、Adobe のブログ投稿へのコメントで、ColdFusion 管理者に、セキュリティ アップデートの実際の重要性と緊急にパッチを適用する必要性について警告しました。
「このセキュリティ修正は、このブログ投稿の文言が示唆するよりもはるかに重要であり、アップデートの技術情報が示唆するよりもはるかに重要です」とArehart氏は警告した.
「はっきりさせておきますが、『任意のコード実行』と『任意のファイル システム読み取り』の両方の脆弱性が複数のサーバーで実行されているのを個人的に見たことがありますが、それは深刻です。」
Comments