Adobe ha recentemente rilasciato degli aggiornamenti di sicurezza out-of-band per risolvere una vulnerabilità critica di ColdFusion con codice exploit proof-of-concept (PoC). In un avviso pubblicato lunedì, l'azienda afferma che il difetto (tracciato come CVE-2024-53961) è causato da una vulnerabilità di path traversal che ha un impatto sulle versioni 2023 e 2021 di Adobe ColdFusion. Questa debolezza può consentire agli aggressori di leggere file arbitrari su server vulnerabili. Come riportato dall’azienda sul proprio sito ufficiale: "Adobe è consapevole che CVE-2024-53961 ha una proof-of-concept nota che potrebbe causare una lettura arbitraria del file system". Inoltre, ha anche avvisato i clienti che ha assegnato un livello di gravità "Priorità 1" al difetto perché presenta "un rischio maggiore di essere preso di mira da exploit in circolazione per una determinata versione del prodotto e piattaforma".
Adobe: installare subito le patch di sicurezza per evitare problemi
L'azienda consiglia agli amministratori di installare le patch di sicurezza di emergenza (ColdFusion 2021 Update 18 e ColdFusion 2023 Update 12) il prima possibile. Inoltre, suggerisce di applicare le impostazioni di configurazione della sicurezza descritte nelle guide di blocco di ColdFusion 2023 e ColdFusion 2021. Adobe non ha ancora rivelato se questa vulnerabilità sia stata sfruttata in natura. Tuttavia, ha consigliato ai clienti di rivedere la documentazione aggiornata del filtro seriale per maggiori informazioni sul blocco degli attacchi di deserializzazione Wddx non sicuri.
Gli aggressori possono sfruttare le vulnerabilità di path traversal per accedere a dati sensibili. Ciò include le credenziali degli utenti che possono essere utilizzate per attacchi brute-force contro account già esistenti. Secondo quanto riportato da CISA (agenzia di sicurezza informatica statunitense) lo scorso maggio: "Vulnerabilità come la directory traversal sono state definite 'imperdonabili' almeno dal 2007. Nonostante questa scoperta, le vulnerabilità della directory traversal (come CWE-22 e CWE-23) sono ancora classi di vulnerabilità prevalenti".
L'anno scorso, a luglio 2023, CISA ha anche ordinato alle agenzie federali di proteggere i propri server Adobe ColdFusion entro il 10 agosto da due falle di sicurezza critiche. Queste vulnerabilità, tracciate come CVE-2023-29298 e CVE-2023-38205, sono state sfruttate in attacchi, uno dei quali come zero-day. L'agenzia statunitense per la sicurezza informatica ha anche rivelato un anno fa che gli hacker avevano utilizzato un'altra vulnerabilità critica di ColdFusion (CVE-2023-26360) per violare server governativi obsoleti da giugno 2023. Lo stesso difetto era stato sfruttato attivamente in "attacchi molto limitati" come zero-day da marzo 2023.