US Cybersecurity & Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ Adobe ColdFusion เวอร์ชัน 2021 และ 2018 ไปยังแคตตาล็อกของช่องโหว่ที่กำลังถูกใช้ในการโจมตี Known Exploited Vulnerabilities (KEV)
CVE-2023-26360 เป็นช่องโหว่ของ Adobe ColdFusion ที่เกิดจากการกำหนดค่า Access Control ที่ไม่ปลอดภัย ซึ่งทำให้ผู้โจมตีสามารถโจมตีได้จากภายนอก และสามารถหลบเลี่ยงการตรวจสอบสิทธิ์ นอกจากนี้ช่องโหว่ดังกล่าวยังใช้เทคนิคที่ไม่ซับซ้อนทำให้ผู้ใช้งานไม่รู้ตัว โดยพบว่าช่องโหว่นี้กำลังถูกนำมาใช้ในการโจมตีเหยื่อที่ยังไม่ได้ทำการอัปเดตแพตซ์
ปัจจุบันทาง Adobe ได้ออกแพตซ์อัปเดตเพื่อป้องกันช่องโหว่ดังกล่าวแล้วใน ColdFusion 2018 Update 16 และ ColdFusion 2021 Update 6 แต่ในส่วน ColdFusion 2016 และ ColdFusion 11 ที่ได้ผลกระทบเช่นกัน จะไม่ได้รับการแก้ไขเนื่องจาก out of support ไปแล้ว
โดย Adobe ได้แจ้งเตือนให้ผู้ดูแลระบบติดตั้งการอัปเดตเพื่อป้องกันช่องโหว่โดยเร็วที่สุด (ภายใน 72 ชั่วโมง หากเป็นไปได้) และใช้การตั้งค่าการกำหนดค่าความปลอดภัยตามที่ระบุไว้ในคู่มือ ColdFusion 2018 และ ColdFusion 2021 lockdown guides เนื่องจากพบว่าช่องโหว่ CVE-2023-26360 กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลาย
รวมถึง CISA ได้ให้เวลากับหน่วยงานบริหารพลเรือนแห่งสหพันธรัฐ (FCEB) ของสหรัฐอเมริกาเป็นเวลา 3 สัปดาห์จนถึงวันที่ 5 เมษายน 2023 ในการอัปเดตระบบของตนเพื่อป้องกันการการโจมตีที่อาจเกิดขึ้นจากช่องโหว่ CVE-2023-26360 ดังกล่าว
ที่มา : bleepingcomputer
You must be logged in to post a comment.