Adobe แจ้งเตือนช่องโหว่สำคัญใน ColdFusion ที่ถูกปล่อย PoC exploit code ออกมาแล้ว

Adobe ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญของ ColdFusion ที่อาจถูกโจมตีเนื่องจาก Proof-of-concept (PoC) exploit code ที่ถูกปล่อยออกมา

CVE-2024-53961 (คะแนน CVSS 7.4/10 ความรุนแรงระดับ High) เป็นช่องโหว่ Path Traversal ซึ่งส่งผลกระทบต่อ Adobe ColdFusion เวอร์ชัน 2023 และ 2021 ที่ทำให้ Hacker สามารถอ่านไฟล์โดยสุ่มบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้ และเนื่องด้วยที่ช่องโหว่ดังกล่าวได้มีการปล่อย PoC exploit code ออกมาแล้ว จึงมีความเสี่ยงสูงที่ช่องโหว่นี้จะตกเป็นเป้าหมายในการโจมตี ทาง Adobe จึงได้แจ้งเตือนให้ผู้ดูแลระบบทำการอัปเดตแพตซ์ความปลอดภัย (ColdFusion 2021 Update 18 และ ColdFusion 2023 Update 12) โดยเร็วที่สุด รวมถึงใช้การตั้งค่าความปลอดภัยที่ระบุไว้ในคู่มือ ColdFusion 2023 และ ColdFusion 2021 lockdown guides

แม้ว่า Adobe จะยังไม่ได้เปิดเผยว่าช่องโหว่นี้ถูกใช้โจมตีจริงแล้วหรือไม่ แต่ก็ได้แนะนำให้ผู้ใช้งานตรวจสอบเอกสารเพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับการบล็อกการโจมตี Wddx deserialization attacks (https://helpx.adobe.com/coldfusion/kb/coldfusion-serialfilter-file.html)

โดย CISA ได้ออกแจ้งเตือนในเดือนพฤษภาคม 2024 ให้บริษัทซอฟแวร์ต่าง ๆ แก้ไขช่องโหว่ด้านความปลอดภัยในรูปแบบ path traversal ก่อนจะปล่อยผลิตภัณฑ์ เนื่องจาก Hacker มักจะใช้ช่องโหว่ดังกล่าวเพื่อเข้าถึงข้อมูลที่มีความสำคัญ รวมถึงข้อมูล credentials ที่สามารถใช้เพื่อโจมตีบัญชีที่มีอยู่แล้ว และเจาะระบบของเป้าหมายได้ ตัวอย่างเช่นช่องโหว่ Directory Traversal Vulnerabilities (CWE-22 และ CWE-23)

ในปี 2023 ทาง CISA ได้สั่งให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัย Adobe ColdFusion servers ภายในวันที่ 10 สิงหาคม 2023 จากช่องโหว่ระดับ critical 2 รายการ (CVE-2023-29298 และ CVE-2023-38205) ที่ถูกใช้ในการโจมตี โดยหนึ่งในนั้นเป็นการโจมตีแบบ Zero-Day

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ ได้เปิดเผยในปี 2023 ว่า Hacker ได้ใช้ช่องโหว่ ColdFusion ระดับ critical อีกช่องโหว่หนึ่ง (CVE-2023-26360) เพื่อเจาะเซิร์ฟเวอร์ของรัฐบาลที่ล้าสมัย มาตั้งแต่เดือนมิถุนายน 2023 โดยช่องโหว่เดียวกันนี้ถูกใช้โจมตีแบบ Zero-day มาตั้งแต่เดือนมีนาคม 2023

ที่มา : bleepingcomputer