CISA warns of Adobe ColdFusion bug exploited as a zero-day
2023/03/15 BleepingComputer — Adobe ColdFusion バージョン 2021/2018 に影響を及ぼす深刻な脆弱性が、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加された。この深刻な任意コード実行の脆弱性 CVE-2023-26360 は、Improper Access Control の欠陥に起因するものであり、ユーザー操作を必要としない低複雑度の攻撃により、未認証の攻撃者にリモートでの悪用を許すものである。Adobe は、ColdFusion 2018 Update 16/ColdFusion 2021 Update 6 で、このアプリケーション・サーバの脆弱性に対応したが、ゼロデイとして攻撃に悪用されたとも述べている。
2023年3月14日 (火) 発行したセキュリティ・アドバイザリで Adobe は、「ColdFusion を標的とした極めて限定的な攻撃で、脆弱性 CVE-2023-26360 が野放し状態で悪用されていることを認識している」と述べている。この脆弱性は ColdFusion 2016/ColdFusion 11 にも影響するが、サポートが終了したバージョンのセキュリティ・アップデートは提供しないと、Adobe は付け加えている。
それぞれの管理者に対しては、可能であれば 72時間以内にセキュリティ・アップデートをインストールし、ColdFusion 2018/ColdFusion 2021 のロックダウン・ガイドに記載されている、セキュリティ構成設定を適用することが推奨される。
このセキュリティ更新プログラムは、CISA や研究者たちにより、緊急のタグが付けられている。CISA は、すべての米国連邦民間行政機関 (FCEB) に対して、4月5日までの3週間以内で、脆弱性 CVE-2023-26360 に対処し、潜在的な攻撃からシステムを保護するよう命じている。
この、CISA 司令の背景にある 2021年11月の拘束的運用指令 (BOD 22-01) は、連邦政府機関にのみに適用されるものだ。ただし、すべての組織は、自社のネットワークを標的とする可能性のある悪用の試みを阻止するために、システムにパッチを適用するよう強く求められている。CISA は、「この種の脆弱性は、悪意のサイバー・アクターにとって頻繁な攻撃手段であり、連邦政府企業の重大なリスクとなる」と述べている。
Adobe は、ColdFusion 2021/2018 に関する。2023年3月のセキュリティ・アップデートを発表するブログ記事も公開しているが、この脆弱性が悪用されたことについては言及していない。
この脆弱性 CVE-2023-26360 を発見/報告したとされる、2人のセキュリティ研究者のうちの1人である Charlie Arehart は、Adobe のブログ記事へのコメントにおいて、「ColdFusion 管理者は、このセキュリティ更新プログラムの重要性を理解し、緊急でパッチを適用すべきだ。このセキュリティ修正は、ブログ記事が示唆するよりも、また、アップデート技術資料が示唆するよりも、はるかに重要である。はっきり言って、任意のコード実行と任意のファイル・システム読み取りの脆弱性が、複数のサーバで悪用されているのを見たことがあり、これは重大なことだ」と警告している。
セキュリティ研究者である Charlie Arehart さんのコメントが、とても気になります。ユーザー操作を必要としない低複雑度の攻撃により、未認証の攻撃者にリモートでの悪用を許すというのは、とても心配な状況です。また、CISA の KEV に追加されるということは、連邦政府機関において悪用が確認されていることなので、御用心ください。2022/12/30 の「CISA KEV カタログの1年:悪用された脆弱性の半分は Adobe/Apple/Cisco/Microsoft」に記されているように、Adobe を狙う脅威アクターは多いのだと思います。
IoT OT Security News 
You must be logged in to post a comment.