Adobe ma wydany biuletyn bezpieczeństwa dotyczący poważnej luki w ColdFusion, zidentyfikowanej jako CVE-2024-53961, która dotyczy wersji 2021 i 2023. Luka ta umożliwia potencjalnym atakującym dokonanie dowolnego odczytu systemu plików, stwarzając znaczne ryzyko nieautoryzowanego dostępu i ujawnienia danych. Firma Adobe sklasyfikowała tę lukę jako „Priorytet 1” ze względu na bezpośrednie zagrożenie i udostępniła poprawki awaryjne dla systemów, których dotyczy luka.
Firma Adobe wydaje alert bezpieczeństwa dotyczący luki w zabezpieczeniach ColdFusion CVE-2024-53961
Luka wynika z wady polegającej na przechodzeniu ścieżek w architekturze Adobe ColdFusion, którą można wykorzystać do uzyskania dostępu do wrażliwych plików na podatnych na ataki serwerach internetowych. Dotyczy to zarówno programów ColdFusion 2021, jak i ColdFusion 2023. Chociaż exploity wykorzystujące tę lukę zostały publicznie zademonstrowane za pomocą kodu sprawdzającego koncepcję (PoC), firma Adobe nie zgłosiła żadnego potwierdzonego wykorzystania w aktywnych atakach. Sytuacja ta wymaga pilnych działań ze strony organizacji korzystających z ColdFusion.
W swoim poradniku firma Adobe podkreśla znaczenie stosowania najnowszych aktualizacji zabezpieczeń — w szczególności aktualizacji ColdFusion 2021 Update 18 i ColdFusion 2023 Update 12 — w ciągu 72 godzin. Firma podkreśliła również konieczność skonfigurowania ustawień zabezpieczeń zgodnie z wytycznymi dotyczącymi blokowania systemu ColdFusion w celu zwiększenia integralności systemu przed atakami.
CISA wcześniej ostrzegał producentów oprogramowania przed konsekwencjami luk w zabezpieczeniach związanych z przechodzeniem ścieżek, które są powszechne i mogą umożliwiać nieautoryzowany dostęp do danych. Agencja klasyfikuje takie luki jako krytyczne, powołując się na ich potencjał wykorzystania do odzyskiwania wrażliwych danych, w tym danych uwierzytelniających użytkownika. To ujawnienie jest następstwem ciągłych alertów FBI dotyczących wykorzystania luk w programie ColdFusion, które wcześniej były celem organizacji federalnych.
Wcześniejsze działania łagodzące
W świetle nowej luki organizacje korzystające z ColdFusion powinny zastosować kilka najlepszych praktyk. Najpierw należy niezwłocznie zastosować poprawki zabezpieczeń wydane przez firmę Adobe, aby ograniczyć ryzyko związane z CVE-2024-53961. Ten krok jest niezbędny, ponieważ charakter luki umożliwia atakującym odczytanie dowolnego pliku na serwerze, co znacznie zwiększa ryzyko incydentów naruszenia danych.
Ponadto wskazane jest wdrożenie solidnych mechanizmów kontroli dostępu i uwierzytelniania, aby ograniczyć nieuprawniony dostęp do wrażliwych informacji. Organizacje powinny również monitorować swoje systemy pod kątem wszelkich nietypowych działań, które mogą oznaczać próby wykorzystania tej luki.
Historycznie rzecz biorąc, podobne luki, w tym CVE-2023-29298 i CVE-2023-38205 zostały wykorzystane w instalacjach Adobe ColdFusion, co spowodowało podjęcie pilnych działań przez CISA w poprzednich zaleceniach. Luki te zwiększyły znaczenie utrzymywania aktualnych systemów w celu ochrony przed potencjalnymi naruszeniami, szczególnie w świetle zeszłorocznych alertów o ciągłym wykorzystywaniu luk w zabezpieczeniach ColdFusion.
Szersze konsekwencje problemów z arbitralnym odczytem plików, takich jak te sklasyfikowane w CWE-22 i CWE-23, podkreślają ciągłe wyzwanie w zakresie cyberbezpieczeństwa. Eksperci nieustannie podkreślają, że twórcy oprogramowania muszą wzmacniać swoje aplikacje przed takimi lukami, ponieważ mogą one prowadzić do poważnych naruszeń danych.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
Wpis, że Adobe stara się naprawić lukę w zabezpieczeniach o priorytecie 1 w ColdFusion, pojawił się jako pierwszy w serwisie TechBriefly.
Source: Adobe spieszy się z naprawieniem luki w zabezpieczeniach o priorytecie 1 w ColdFusion