New Vulnerabilities Found in Adobe ColdFusion
2023/07/18 InfoSecurity — Web 開発コンピューティング・プラットフォームである Adobe ColdFusion に、複数の脆弱性が存在することを、Rapid7 のセキュリティ研究者たちが発見した。2023年7月11日に Adobe は、Rapid7 が発見したアクセス制御バイパスの脆弱性 CVE-2023-29298 および、任意のコード実行を可能にする安全でないデシリアライズの脆弱性 CVE-2023-29300 を含む、ColdFusion に影響を及ぼす複数の脆弱性にパッチをリリースしている。しかし、最近になって Rapid7 は、これらの脆弱性の一部が数日後も悪用されており、また、一部のパッチが不完全であることを確認した。彼らは、7月17日にアドバイザリで調査結果を公表した。
2つの脆弱性の混同
研究者たちは、この問題は2つのデシリアライズ脆弱性の、混同によるものだと説明している。
7月11日のパッチは、ColdFusion へ向けたリクエストの一部を形成する Web Distributed Data eXchange (WDDX) データにより、デシリアライズできないクラスの否定リストを実装している。
しかし、オープンソースの Project Discovery イニシアチブの研究者たちは、Adobe の否定リストに存在しないクラスを使用する回避策を発見し、リモート・コード実行を達成するためのデシリアライズ・ガジェットとして使用できるとしていた。しかし彼らは、その発見を公表した直後の 7月12日に解説を削除している。
Rapid7 は、「Project Discovery が CVE-2023-29300 の N-Day エクスプロイトを公開した考えた可能性が高いが、実際に Project Discovery が詳述していたのは、新しいゼロデイエクスプロイト・チェーンである CVE-2023-38203 だった」と捉えている。
Adobe は 脆弱性 CVE-2023-38203 のセキュリティ・アップデートを公開したが、この CVE レコードは、この記事を執筆している時点で “reserved” の状態であり、パッチがレビュー中であることを意味している。
Adobe CVE-2023-29298 パッチは不完全
さらに Rapid7 は、脅威アクターたちが CVE-2023-29298 と CVE-2023-38203 を組み合わせて悪用しているとし、若干の修正を加えたエクスプロイトが、ColdFusion の最新バージョン (7月14日リリース) に対して、依然として有効であることを観察している。
そのアドバイザリには、「現時点において、脆弱性 CVE-2023-29298 に対する緩和策は存在しないが、Rapid7 が観測しているエクスプロイト・チェーンが、ターゲット・システム上で完全に実行されるためには、セカンダリの脆弱性が必要となる。そのため、脆弱性 CVE-2023-38203 を修正した ColdFusion の最新バージョンにアップデートすることで、MDR チームが観測している攻撃者の動作を防ぐことができる」と述べている。
Rapid7 は、この調査結果を Adobeに通知している。
この Adobe ColdFusion の脆弱性 CVE-2023-29298/CVE-2023-29300 の詳細に関しては、同社のアドバイザリを確認してください。また、このあとがきを書いている時点で、CVE-2023-38203 に関する情報も、Adobe は提供しています。なお、このアドバイザリの最終更新が 7月15日になっているので、おそらく、そこで追加された情報があるのだろうと思います。
IoT OT Security News 
You must be logged in to post a comment.