A CISA adicionou uma vulnerabilidade crítica que afeta as versões 2021 e 2018 do Adobe ColdFusion ao seu catálogo de bugs de segurança explorados.
Essa falha crítica de execução de código arbitrário (
CVE-2023-26360
) ocorre devido a uma fraqueza de controle de acesso impróprio e pode ser explorada remotamente por atacantes não autenticados em ataques de baixa complexidade que não requerem interação do usuário.
A Adobe resolveu a vulnerabilidade do servidor de aplicativos no ColdFusion 2018 Update 16 e no ColdFusion 2021 Update 6 e disse que foi explorada em ataques como um zero-day.
A empresa disse em um aviso de segurança emitido nesta terça-feira que está ciente de que o
CVE-2023-26360
foi explorado em ataques muito limitados direcionados ao Adobe ColdFusion.
Embora a falha também afete as instalações do ColdFusion 2016 e do ColdFusion 11, a Adobe não fornece mais atualizações de segurança para versões sem suporte.
Administradores são aconselhados a instalar as atualizações de segurança o mais rápido possível (dentro de 72 horas, se possível) e aplicar as configurações de segurança descritas nos guias de bloqueio do ColdFusion 2018 e do ColdFusion 2021.
A CISA classificou as atualizações de segurança como urgentes e alertou os pesquisadores.
A CISA deu a todos os órgãos civis executivos federais dos EUA três semanas, até 5 de abril, para proteger seus sistemas contra possíveis ataques usando explorações
CVE-2023-26360
.
Embora a diretiva operacional obrigatória (BOD 22-01) de novembro de 2021 por trás da ordem da CISA se aplique apenas às agências federais, todas as organizações são fortemente instadas a corrigir seus sistemas para impedir tentativas de exploração que possam visar suas redes.
A CISA disse: "Esses tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos mal-intencionados e representam riscos significativos para a empresa federal".
Embora a Adobe também tenha publicado uma postagem de blog separada anunciando as atualizações de segurança de março de 2023 do ColdFusion 2021 e 2018, ela não mencionou que as vulnerabilidades de segurança corrigidas também foram exploradas.
Charlie Arehart, um dos dois pesquisadores de segurança creditados por descobrir e relatar o bug
CVE-2023-26360
, alertou os administradores do ColdFusion em um comentário na postagem do blog da Adobe sobre a importância real das atualizações de segurança e a necessidade de corrigi-las com urgência.
"Essa correção de segurança é muito mais importante do que a redação desta postagem no blog sugere e até mesmo do que as notas técnicas de atualização sugeririam", alertou Arehart.
"Para ser claro, pessoalmente vi as vulnerabilidades de 'execução de código arbitrário' e 'leitura arbitrária do sistema de arquivos' terem sido perpetradas em vários servidores e é grave".
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...