Critical ColdFusion flaws exploited in attacks to drop webshells
คำเตือนที่ผิดพลาดซึ่งเพิ่มโดย Adobe ในการแจ้งเตือนทางอีเมล อย่างไรก็ตาม Rapid7 พบข้อผิดพลาดเวอร์ชันใหม่กว่าเพื่อใช้ประโยชน์อย่างแข็งขัน แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ ColdFusion สองช่องโหว่เพื่อข้ามการตรวจสอบสิทธิ์และดำเนินการคำสั่งจากระยะไกลเพื่อติดตั้งเว็บเชลล์บนเซิร์ฟเวอร์ที่มีช่องโหว่
นักวิจัยที่ Rapid7 พบเห็นการเจาะระบบที่ใช้งานอยู่ ซึ่งกล่าวว่าผู้คุกคามกำลังผูกมัดการเจาะระบบเข้าด้วยกันเพื่อหาช่องโหว่การควบคุมการเข้าถึง (CVE-2023-29298) และสิ่งที่ดูเหมือนจะเป็น CVE-2023-38203 ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่สำคัญ
เมื่อวันที่ 11 กรกฎาคม Adobe เปิดเผย การบายพาสการตรวจสอบสิทธิ์ ColdFusion ที่ติดตามเป็น CVE-2023-29298 ซึ่งค้นพบโดยนักวิจัย Rapid7 Stephen Fewer และช่องโหว่ RCE ก่อนการตรวจสอบสิทธิ์ที่ติดตามเป็น CVE-2023-29300ซึ่งค้นพบโดย Nicolas Zilio นักวิจัย CrowdStrike CVE-2023-29300 เป็นช่องโหว่ deserialization ที่ได้รับการจัดอันดับว่าวิกฤตด้วยคะแนนความรุนแรง 9.8 เนื่องจากผู้เยี่ยมชมที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถใช้คำสั่งจากระยะไกลบนเซิร์ฟเวอร์ Coldfusion 2018, 2021 และ 2023 ที่มีช่องโหว่ในการโจมตีที่มีความซับซ้อนต่ำ ในขณะที่ช่องโหว่ไม่ได้ถูกโจมตีในขณะนั้น บล็อกโพสต์ทางเทคนิคที่เพิ่งถูกลบโดย Project Discovery ได้รับการเผยแพร่เมื่อวันที่ 12 กรกฎาคม ซึ่งมีการใช้ประโยชน์จากการพิสูจน์แนวคิดสำหรับ CVE-2023-29300 ตามบล็อกโพสต์ของ Project Discovery ที่ตอนนี้ถูกลบออก ช่องโหว่นี้เกิดจากการ deserialization ที่ไม่ปลอดภัยในไลบรารี WDDX
https://www.bleepingcomputer.com/news/security/critical-coldfusion-flaws-exploited-in-attacks-to-drop-webshells/