CISA telah menambahkan kerentanan kritis yang memengaruhi Adobe ColdFusion versi 2021 dan 2018 ke katalog bug keamanannya yang dieksploitasi secara liar.
Cacat eksekusi kode arbitrer kritis ini (CVE-2023-26360) disebabkan oleh Kontrol Akses yang Tidak Benar kelemahan, dan dapat disalahgunakan dari jarak jauh oleh penyerang yang tidak diautentikasi dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.
Adobe mengatasi kerentanan server aplikasi di ColdFusion 2018 Update 16 dan ColdFusion 2021 Update 6 dan mengatakan itu dieksploitasi dalam serangan sebagai zero-day.
“Adobe menyadari bahwa CVE-2023-26360 telah dieksploitasi secara liar dalam serangan yang sangat terbatas yang menargetkan Adobe ColdFusion,” kata perusahaan itu. dikatakan dalam penasihat keamanan yang dikeluarkan Selasa ini.
Meskipun cacat tersebut juga memengaruhi penginstalan ColdFusion 2016 dan ColdFusion 11, Adobe tidak lagi menyediakan pembaruan keamanan untuk versi yang tidak didukung.
Administrator disarankan untuk menginstal pembaruan keamanan sesegera mungkin (dalam waktu 72 jam, jika memungkinkan) dan menerapkan pengaturan konfigurasi keamanan yang diuraikan dalam Cold Fusion 2018 Dan ColdFusion 2021 panduan penguncian.
Pembaruan keamanan ditandai sebagai mendesak oleh CISA, peneliti
CISA telah memberikan waktu tiga minggu kepada semua agen Badan Cabang Eksekutif Sipil Federal (FCEB) AS, hingga 5 Apriluntuk mengamankan sistem mereka dari serangan potensial menggunakan exploit CVE-2023-26360.
Padahal November 2021 petunjuk operasional yang mengikat (BOD 22-01) di balik perintah CISA hanya berlaku untuk agen federal, semua organisasi sangat didesak untuk menambal sistem mereka untuk menggagalkan upaya eksploitasi yang mungkin menargetkan jaringan mereka.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku dunia maya berbahaya dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA dikatakan.
Sementara Adobe juga menerbitkan a posting blog terpisah mengumumkan Pembaruan Keamanan ColdFusion 2021 dan 2018 Maret 2023, gagal menyebutkan bahwa kerentanan keamanan yang ditambal juga dieksploitasi secara liar.
Charlie Arehart, salah satu dari dua peneliti keamanan yang dikreditkan karena menemukan dan melaporkan bug CVE-2023-26360, memperingatkan admin ColdFusion dalam komentar di posting blog Adobe tentang pentingnya pembaruan keamanan dan kebutuhan untuk segera menambalnya.
“Perbaikan keamanan ini jauh lebih penting daripada kata-kata yang disarankan oleh posting blog ini dan bahkan yang disarankan oleh technotes pembaruan,” Arehart diperingatkan.
“Agar lebih jelas, saya secara pribadi telah melihat kerentanan ‘eksekusi kode sewenang-wenang’ dan ‘pembacaan sistem file sewenang-wenang’ telah dilakukan di beberapa server, dan itu serius.”
