Adobe warns of critical ColdFusion bug with PoC exploit code
2024/12/23 BleepingComputer — Adobe が発表したのは、深刻な ColdFusion の脆弱性 CVE-2024-53961 と、PoC (Proof-of-Concept) エクスプロイト・コードの提供に対処する、予定外のセキュリティ・アップデートである。2024年12月23日 (月) に公開された同社のアドバイザリには、「Adobe ColdFusion バージョン 2023/2021 に影響をおよぼす、この脆弱性 CVE-2024-53961 はパス・トラバーサルの欠陥に起因する。それにより、悪用に成功した攻撃者は、脆弱性のあるサーバ上で任意のファイル Read/Write 可能性を手にする」と記されている。
2024年12月23日に Adobe は、「脆弱性 CVE-2024-53961 については、ファイル・システム上で任意の Read/Write を引き起こすという、PoC エクスプロイトがあることを認識している」と述べている。また、同社は、この欠陥を最も深刻な評価である “Priority 1” にした理由として、特定製品のバージョンとプラットフォームに対するエクスプロイトが野放しになっているため、標的にされるリスクが高いからだとしている。すでに、そのことは、顧客に警告されている。
同社は管理者に対して推奨するのは、緊急のセキュリティ・パッチ (ColdFusion 2021 Update 18/ ColdFusion 2023 Update 12) を早急に、可能であれば 72 時間以内に インストールすることである。また、ColdFusion 2023/ColdFusion 2021 ロックダウン・ガイドに記載されている、セキュリティ・コンフィグレーションの適用も推奨している。
この脆弱性の実際での悪用について、Adobe は何も明らかにしていない。その一方で、顧客に対しては、安全が確保されない Wddx デシリアライゼーション攻撃をブロックする方法について、更新されたシリアル・フィルタのドキュメントを確認するようアドバイスしている。
2024年5月に CISA が、ソフトウェア企業に対して警告したように、製品出荷前に行うべきパス・トラバーサルのセキュリティ・バグの排除は重要である。この種の脆弱性を悪用する攻撃者は、機密データにアクセスし、標的システムに対するブルートフォースなどで、それらの認証情報を悪用することになる。
CISA は、「ディレクトリ・トラバーサルのような脆弱性は、少なくとも 2007 年以降において “許されない” ものとされてきた。しかし、ディレクトリ・トラバーサルの脆弱性 (CWE-22/CWE-23 など) は、依然として蔓延している脆弱性のクラスである」と述べている。
2023年7月の時点で CISA は連邦機関に対して、攻撃で悪用された Adobe ColdFusion 2つの深刻なセキュリティ脆弱性(CVE-2023-29298/CVE-2023-38205)に対して、8月10日までにパッチを適用するよう命じた。そのうちの1つは、ゼロデイ攻撃として悪用されていた。
また、CISA は、2023年6月以降において、別の深刻な ColdFusion の脆弱性 CVE-2023-26360 を悪用する脅威アクターが、時代遅れの政府サーバに侵入していたことを明らかにしている。この脆弱性は、2023年3月以降における、きわめて限定的な攻撃で、ゼロデイ脆弱性として積極的に悪用されていた。
Adobe ColdFusion の、パス・トラバーサルの脆弱性が FIX しました。文中には、PoC の存在が記載されていますが、Adobe のアドバイザリでは、それらしきものが見つかりませんでした。なお、CISA のパス・トラバーサルに関する見解については、2024/05/02 の「CISA/FBI の共同警告:パス・トラバーサル脆弱性の出荷前の修正をベンダーに要請」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.