Các lỗ hổng nghiêm trọng của ColdFusion bị khai thác trong các cuộc tấn công để loại bỏ webshells

Cập nhật ngày 17/7/23: Bài viết đã được cập nhật do Adobe thêm một cảnh báo nhầm vào thông báo email của mình. Tuy nhiên, Rapid7 đã phát hiện ra một phiên bản mới hơn của lỗi này để khai thác chủ động.

Việc khai thác chủ động đã được các nhà nghiên cứu tại Rapid7 phát hiện, họ cho biết các tác nhân đe dọa đang kết hợp các hoạt động khai thác với lỗ hổng bỏ qua kiểm soát truy cập (CVE-2023-29298) và có vẻ như đó là CVE-2023-38203, một lỗ hổng thực thi mã từ xa quan trọng.

Bỏ qua các bản vá lỗi

Vào ngày 11 tháng 7, Adobe đã tiết lộ một lỗ hổng xác thực ColdFusion được theo dõi là CVE-2023-29298, được phát hiện bởi các nhà nghiên cứu của Rapid7, Stephen Fewer và một lỗ hổng RCE trước khi xác thực được theo dõi là CVE-2023-29300, được phát hiện bởi nhà nghiên cứu CrowdStrike, Nicolas Zilio.

CVE-2023-29300 là một lỗ hổng deserialization được đánh giá là nghiêm trọng với mức độ nghiêm trọng 9,8, vì nó có thể được những khách truy cập không được xác thực sử dụng để thực thi các lệnh từ xa trên các máy chủ Coldfusion 2018, 2021 và 2023 dễ bị tấn công trong các cuộc tấn công có độ phức tạp thấp.

Mặc dù lỗ hổng chưa được khai thác sau đó, nhưng một bài đăng trên blog kỹ thuật đã bị xóa gần đây của Project Discovery đã được phát hành vào ngày 12 tháng 7 có một khai thác proof-of-concept (PoC) cho CVE-2023-29300.

Theo bài đăng trên blog hiện đã bị xóa của Project Discovery, lỗ hổng bắt nguồn từ quá trình deserialization không an toàn trong thư viện WDDX.

"Tóm lại, phân tích của chúng tôi cho thấy một lỗ hổng nghiêm trọng trong quy trình deserialization WDDX trong Adobe ColdFusion 2021 (Bản cập nhật 6)", bài đăng trên blog Project Discovery giải thích.

"Bằng cách khai thác lỗ hổng này, chúng tôi có thể thực thi mã từ xa. Vấn đề bắt nguồn từ việc sử dụng Java Reflection API không an toàn cho phép gọi một số phương thức nhất định."

Rapid7 cho biết Adobe đã khắc phục lỗ hổng này bằng cách thêm danh sách từ chối cho thư viện Web Distributed Data eXchange (WDDX) để ngăn chặn việc tạo chuỗi tiện ích độc hại.

"Adobe có khả năng không thể loại bỏ hoàn toàn chức năng WDDX này, vì điều đó sẽ phá vỡ tất cả những thứ dựa trên nó, vì vậy thay vì cấm deserialization dữ liệu WDDX, họ triển khai một danh sách từ chối các đường dẫn lớp Java không thể deserialization (vì vậy kẻ tấn công không thể chỉ định một tiện ích deserialization nằm trong các đường dẫn lớp này)," theo giải thích trong một báo cáo của Rapid7.

Vào ngày 14 tháng 7, Adobe đã phát hành bản cập nhật bảo mật ngoài dải cho CVE-2023-38203 mà Project Discovery đã phát hiện ra.

Rapid7 tin rằng lỗ hổng này bỏ qua lỗ hổng CVE-2023-29300, với việc các nhà nghiên cứu tìm thấy một chuỗi tiện ích có thể sử dụng để thực thi mã từ xa.

Bản cập nhật bảo mật OOB của Adobe một lần nữa cập nhật danh sách từ chối để ngăn tiện ích thông qua 'com.sun.rowset. JdbcRowSetImpl', là lớp được sử dụng trong khai thác PoC của Project Discover.

Thật không may, trong khi lỗ hổng đó dường như đã được khắc phục, ngày 17 tháng 7 Rapid7 nói rằng đã phát hiện ra rằng bản sửa lỗi cho lỗ hổng CVE-2023-29298 của họ vẫn có thể bị bỏ qua, vì vậy chúng ta sẽ sớm mong đợi một bản vá khác của Adobe.

Khai thác trong các cuộc tấn công

Adobe khuyến nghị quản trị viên nên cài đặt 'khóa' ColdFusion để tăng cường bảo mật và cung cấp khả năng phòng thủ tốt hơn trước các cuộc tấn công.

Tuy nhiên, các nhà nghiên cứu của Project Discovery đã cảnh báo rằng CVE-2023-29300 (và có khả năng là CVE-2023-38203) có thể được liên kết với CVE-2023-29298 để bỏ qua chế độ khóa.

"Để khai thác lỗ hổng này, thông thường, cần có quyền truy cập vào điểm cuối CFC hợp lệ. Tuy nhiên, nếu không thể truy cập trực tiếp điểm cuối CFC tiền xác thực mặc định do chế độ khóa ColdFusion, thì có thể kết hợp lỗ hổng này với CVE-2023-29298 ," theo kết luận bài viết kỹ thuật của Project Discovery.

"Sự kết hợp này cho phép thực thi mã từ xa đối với một phiên bản ColdFusion dễ bị tấn công, ngay cả khi nó được định cấu hình ở chế độ khóa."

Ngày 17 tháng 7, Rapid7 cho biết đã bắt đầu thấy những kẻ tấn công khai thác chuỗi lỗ hổng CVE-2023-29298 và những gì dường như là khai thác được thể hiện trong bài viết của Project Discovery vào ngày 13 tháng 7, một ngày sau khi bài viết kỹ thuật được phát hành.

Những kẻ tấn công sử dụng các khai thác này để vượt qua bảo mật và cài đặt webshell trên các máy chủ ColdFusion dễ bị tấn công để có quyền truy cập từ xa vào các thiết bị.

Những webshell này đã được tìm thấy trong thư mục sau:

.\ColdFusion11\cfusion\wwwroot\CFIDE\ckeditr.cfm

Mặc dù Rapid7 cho biết hiện tại không có bản vá nào để khắc phục hoàn toàn CVE-2023-29298, nhưng việc khai thác yêu cầu lỗ hổng thứ hai, chẳng hạn như CVE-2023-38203. Do đó, cài đặt phiên bản ColdFusion mới nhất sẽ ngăn chặn chuỗi khai thác.

"Do đó, việc cập nhật lên phiên bản ColdFusion mới nhất hiện có để sửa lỗi CVE-2023-38203 vẫn sẽ ngăn chặn hành vi của kẻ tấn công mà nhóm MDR của chúng tôi đang theo dõi", Rapid7 đưa ra lời khuyên.

Do bị khai thác trong các cuộc tấn công, quản trị viên nên nâng cấp ColdFusion lên phiên bản mới nhất để vá lỗ hổng càng sớm càng tốt.

Ngày 17/7/23: Bài báo cập nhật thông tin từ Rapid7 và Adobe cho biết họ đã cảnh báo nhầm rằng CVE-2023-29300 đã bị khai thác.

Nguồn: bleepingcomputer.com