Κρίσιμες ατέλειες του ColdFusion που αξιοποιούνται σε επιθέσεις για την απόρριψη webshells

Ενημέρωση 17/7/23: Το άρθρο ενημερώθηκε λόγω μιας λανθασμένης προειδοποίησης που προστέθηκε από την

Adobe

στην ειδοποίησή της μέσω email. Ωστόσο, μια νεότερη έκδοση του σφάλματος θεωρήθηκε από το Rapid7 για ενεργή εκμετάλλευση.

Οι χάκερ εκμεταλλεύονται ενεργά δύο τρωτά σημεία του ColdFusion για να παρακάμψουν τον έλεγχο ταυτότητας και να εκτελέσουν εξ αποστάσεως εντολές για να εγκαταστήσουν webshells σε ευάλωτους διακομιστές.

Η ενεργή εκμετάλλευση παρατηρήθηκε από ερευνητές στο Rapid7, το οποίο λέει ότι οι φορείς απειλών συνδέουν εκμεταλλεύσεις για μια ευπάθεια παράκαμψης ελέγχου πρόσβασης (CVE-2023-29298) και αυτό που φαίνεται να είναι το CVE-2023-38203, μια κρίσιμη ευπάθεια εκτέλεσης απομακρυσμένου κώδικα.

Παράκαμψη μπαλωμάτων

Στις 11 Ιουλίου,

Η Adobe αποκάλυψε

μια παράκαμψη ελέγχου ταυτότητας ColdFusion που παρακολουθείται ως CVE-2023-29298, που ανακαλύφθηκε από τους ερευνητές του Rapid7, Stephen Fewer, και μια ευπάθεια RCE προέγκρισης που παρακολουθείται ως

CVE-2023-29300

ανακαλύφθηκε από τον ερευνητή του CrowdStrike Nicolas Zilio.

Το CVE-2023-29300 είναι μια ευπάθεια deserialization που έχει βαθμολογηθεί ως κρίσιμη με βαθμολογία σοβαρότητας 9,8, καθώς μπορεί να χρησιμοποιηθεί από μη πιστοποιημένους επισκέπτες για την εξ αποστάσεως εκτέλεση εντολών σε ευάλωτους διακομιστές Coldfusion 2018, 2021 και 2023 σε low-airs.com.p.

Αν και η ευπάθεια δεν έγινε αντικείμενο εκμετάλλευσης τότε, μια πρόσφατα καταργημένη τεχνική ανάρτηση ιστολογίου από το Project Discovery δημοσιεύθηκε στις 12 Ιουλίου που περιέχει μια εκμετάλλευση απόδειξης της ιδέας για το CVE-2023-29300.

Σύμφωνα με την καταργηθείσα πλέον ανάρτηση ιστολογίου του Project Discovery, η ευπάθεια προέρχεται από την ανασφαλή αποζωνοποίηση στη βιβλιοθήκη WDDX.

“Συμπερασματικά, η ανάλυσή μας αποκάλυψε μια σημαντική ευπάθεια στη διαδικασία αφαίρεσης του WDDX εντός του Adobe ColdFusion 2021 (

Update

6)”, εξηγεί η ανάρτηση ιστολογίου του Project Discovery.

“Με την εκμετάλλευση αυτής της ευπάθειας, μπορέσαμε να επιτύχουμε απομακρυσμένη εκτέλεση κώδικα. Το πρόβλημα προήλθε από μια μη ασφαλή χρήση του Java Reflection API που επέτρεπε την επίκληση ορισμένων μεθόδων.”

Η Rapid7 λέει ότι η Adobe διόρθωσε αυτό το θέμα ευπάθειας προσθέτοντας μια λίστα άρνησης για τη βιβλιοθήκη Web Distributed

Data

eXchange (WDDX) για να αποτρέψει τη δημιουργία κακόβουλων αλυσίδων gadget.

“Η Adobe είναι πιθανό να μην μπορεί να καταργήσει εντελώς αυτήν τη λειτουργικότητα WDDX, καθώς κάτι τέτοιο θα έσπασε όλα τα πράγματα που βασίζονται σε αυτήν, επομένως αντί να απαγορεύουν την αφαίρεση των δεδομένων WDDX, εφαρμόζουν μια λίστα άρνησης μονοπατιών κλάσης Java που δεν μπορούν να αποσειροποιηθούν (άρα ένας εισβολέας δεν μπορεί καθορίστε ένα gadget deserialization που βρίσκεται σε αυτές τις διαδρομές κλάσης),» εξηγεί ο α

αναφορά από το Rapid7

.

Στις 14 Ιουλίου, η Adobe κυκλοφόρησε μια ενημερωμένη έκδοση ασφαλείας εκτός ζώνης για

CVE-2023-38203

το οποίο ανακάλυψε το Project Discovery.

Το Rapid7 πιστεύει ότι αυτή η ευπάθεια παρακάμπτει το ελάττωμα CVE-2023-29300, με τους ερευνητές να βρίσκουν μια χρησιμοποιήσιμη αλυσίδα gadget για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα.

Η ενημέρωση ασφαλείας OOB της Adobe ενημερώνει για άλλη μια φορά τη λίστα άρνησης για να αποτρέψει ένα gadget μέσω του ‘com.sun.rowset. Κλάση JdbcRowSetImpl’, η οποία ήταν η κλάση που χρησιμοποιήθηκε στην εκμετάλλευση PoC του Project Discover.

Δυστυχώς, ενώ αυτή η ευπάθεια φαίνεται να έχει επιδιορθωθεί, η Rapid7 λέει ότι ανακάλυψαν σήμερα ότι η επιδιόρθωση για το ελάττωμά τους στο CVE-2023-29298 μπορεί ακόμα να παρακαμφθεί, επομένως θα πρέπει να περιμένουμε μια νέα ενημέρωση κώδικα από την Adobe σύντομα,

Εκμεταλλεύονται σε επιθέσεις

Η Adobe συνιστά στους διαχειριστές

απαγόρευση κυκλοφορίας

Εγκαταστάσεις ColdFusion για αύξηση της ασφάλειας και για καλύτερη άμυνα έναντι επιθέσεων.

Ωστόσο, οι ερευνητές του Project Discovery προειδοποίησαν ότι το CVE-2023-29300 (και πιθανώς το CVE-2023-38203) θα μπορούσε να συνδεθεί με το CVE-2023-29298 για να παρακάμψει τη λειτουργία κλειδώματος.

“Για να εκμεταλλευτεί κανείς αυτήν την ευπάθεια, είναι συνήθως απαραίτητη η πρόσβαση σε ένα έγκυρο τελικό σημείο CFC. Ωστόσο, εάν τα προεπιλεγμένα προεπιλεγμένα τελικά σημεία CFC δεν μπορούν να προσπελαστούν απευθείας λόγω της λειτουργίας κλειδώματος ColdFusion, είναι δυνατός ο συνδυασμός αυτής της ευπάθειας με το CVE-2023-29298 », καταλήγει η τεχνική σύνταξη του Project Discovery.

“Αυτός ο συνδυασμός επιτρέπει την απομακρυσμένη εκτέλεση κώδικα έναντι μιας ευάλωτης παρουσίας ColdFusion, ακόμη και όταν έχει ρυθμιστεί σε λειτουργία κλειδώματος.”

Σήμερα, το Rapid7 λέει ότι άρχισαν να βλέπουν αλυσιδωτές εκμεταλλεύσεις εισβολέων για το ελάττωμα CVE-2023-29298 και αυτό που φαίνεται να είναι το exploit που παρουσιάστηκε στην εγγραφή του Project Discovery στις 13 Ιουλίου, μια ημέρα μετά τη δημοσίευση της τεχνικής εγγραφής.

Οι εισβολείς χρησιμοποιούν αυτά τα exploit για να παρακάμψουν την ασφάλεια και να εγκαταστήσουν webshells σε ευάλωτους διακομιστές ColdFusion για να αποκτήσουν απομακρυσμένη πρόσβαση σε συσκευές.

Αυτά τα κελύφη ιστού έχουν εμφανιστεί στον ακόλουθο φάκελο:

.ColdFusion11cfusionwwwrootCFIDEckeditr.cfm

Ενώ το Rapid7 λέει ότι επί του παρόντος δεν υπάρχει ενημέρωση κώδικα για την πλήρη διόρθωση του CVE-2023-29298, η εκμετάλλευση απαιτεί μια δεύτερη ευπάθεια, όπως το CVE-2023-38203. Επομένως, η εγκατάσταση της πιο πρόσφατης έκδοσης ColdFusion θα αποτρέψει την αλυσίδα εκμετάλλευσης.

“Ως εκ τούτου, η ενημέρωση στην πιο πρόσφατη διαθέσιμη έκδοση του ColdFusion που διορθώνει το CVE-2023-38203 θα πρέπει να αποτρέπει τη συμπεριφορά του εισβολέα που παρατηρεί η ομάδα MDR μας”, συμβουλεύει το Rapid7.

Λόγω της εκμετάλλευσής του σε επιθέσεις, συνιστάται στους διαχειριστές να αναβαθμίσουν το ColdFusion στην πιο πρόσφατη έκδοση για να διορθώσουν το ελάττωμα το συντομότερο δυνατό.

17/7/23: Το άρθρο ενημερώθηκε με πληροφορίες από την Rapid7 και την Adobe που δηλώνουν ότι προειδοποίησαν κατά λάθος ότι έγινε εκμετάλλευση του CVE-2023-29300.