Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memberi agen federal waktu tiga minggu untuk mengamankan server Adobe ColdFusion di jaringan mereka terhadap dua kelemahan keamanan kritis yang dieksploitasi dalam serangan, salah satunya sebagai zero-day.
Menurut arahan operasional yang mengikat (BOD 22-01) yang dikeluarkan oleh CISA pada November 2021, Agen Cabang Eksekutif Sipil Federal (FCEB) diharuskan untuk menambal sistem mereka terhadap semua bug yang ditambahkan ke katalog Kerentanan Tereksploitasi yang Diketahui (KEV).
Dengan pembaruan terbaru, semua agensi FCEB AS telah diinstruksikan untuk mengatasi dua bug (CVE-2023-29298 Dan CVE-2023-38205) sebelum 10 Agustus.
Meskipun fokus utama katalog adalah pada lembaga federal, perusahaan swasta sangat disarankan untuk juga memprioritaskan dan segera menangani kedua kerentanan tersebut.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku dunia maya berbahaya dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA dikatakan.
kebingungan ColdFusion
Adobe menangani bypass kontrol akses CVE-2023-29298 dan kerentanan RCE pre-auth CVE-2023-29300 pada 11 Juli—perusahaan juga secara keliru memberi tahu pelanggan bahwa CVE-2023-29300 sedang dieksploitasi dan kemudian mencabut peringatan tersebut.
Dua hari kemudian, Rapid7 mengatakan mengamati penyerang merantai eksploitasi untuk CVE-2023-29298 dan apa yang tampak seperti kelemahan CVE-2023-29300/CVE-2023-38203 untuk menyebarkan web shell pada server ColdFusion yang rentan untuk mendapatkan akses awal ke perangkat backdoor.
Pada hari Senin, 17 Juli, Rapid7 menemukan jalan pintas untuk patch CVE-2023-29298 (sekarang dilacak sebagai CVE-2023-38205) sudah dieksploitasi dalam serangan.
“Peneliti Rapid7 menentukan pada Senin, 17 Juli bahwa perbaikan yang disediakan Adobe untuk CVE-2023-29298 pada 11 Juli tidak lengkap, dan eksploit yang dimodifikasi secara sepele masih bekerja melawan versi terbaru ColdFusion (dirilis 14 Juli),” kata Rapid7.
Adobe merilis pembaruan keamanan darurat untuk mengatasi zero-day CVE-2023-38205 baru yang dieksploitasi secara aktif pada 19 Juli, memperingatkan pelanggan bahwa itu disalahgunakan di alam liar “dalam serangan terbatas yang menargetkan Adobe ColdFusion.”
CISA mengeluarkan perintah kedua minggu ini meminta agen federal untuk melakukannya mengamankan server Citrix yang rentan melawan CVE-2023-3519 bug eksekusi kode jarak jauh (RCE) sebelum 9 Agustus.
Seperti yang diungkapkan peneliti keamanan Shadowserver Foundation, setidaknya 11.170 peralatan Citrix Netscaler terekspos secara online cenderung rentan terhadap serangan yang memanfaatkan kelemahan tersebut.
