Adobe เตือนถึงข้อบกพร่องร้ายแรงของ ColdFusion ด้วยการใช้ประโยชน์จาก PoC

Adobe ได้ออกการอัปเดตความปลอดภัยนอกแบนด์เพื่อแก้ไขช่องโหว่ ColdFusion ที่สำคัญ ซึ่งมีโค้ดการหาประโยชน์แบบ Proof-of-Concept (PoC) ที่เปิดเผยต่อสาธารณะ

ช่องโหว่ที่ระบุเป็น CVE-2024-53961 (คะแนน CVSS: 7.4) เกิดขึ้นจากข้อบกพร่องในการข้ามเส้นทาง ซึ่งส่งผลกระทบต่อ Adobe ColdFusion เวอร์ชัน 2023 (อัปเดต 11 และก่อนหน้า) และ 2021 (อัปเดต 17 และก่อนหน้า)

หากถูกโจมตี ข้อบกพร่องนี้อาจทำให้ผู้โจมตีสามารถเข้าถึงไฟล์ต่างๆ บนเซิร์ฟเวอร์ที่ถูกบุกรุกโดยไม่ได้รับอนุญาต ซึ่งอาจส่งผลให้ข้อมูลเสียหายได้

“ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเข้าถึงไฟล์หรือไดเร็กทอรีที่อยู่นอกไดเร็กทอรีที่ถูกจำกัดโดยแอปพลิเคชัน สิ่งนี้อาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อนหรือการจัดการข้อมูลระบบ”ที่ปรึกษา NISTอ่าน

สำหรับผู้ที่ไม่รู้ ColdFusion คือแอปพลิเคชันเซิร์ฟเวอร์และภาษาการเขียนโปรแกรมเว็บที่อำนวยความสะดวกในการสร้างหน้าเว็บแบบไดนามิกโดยเปิดใช้งานการสื่อสารกับระบบแบ็คเอนด์ตามอินพุตของผู้ใช้ การสืบค้นฐานข้อมูล หรือเกณฑ์อื่นๆ

“Adobe ทราบดีว่า CVE-2024-53961 มีการพิสูจน์แนวคิดที่ทราบกันดีว่าอาจทำให้ระบบไฟล์ถูกอ่าน” Adobe กล่าวในแถลงการณ์ที่ปรึกษาเปิดตัวในวันจันทร์

Adobe ได้กำหนดระดับความรุนแรงให้กับข้อบกพร่อง “ลำดับความสำคัญ 1” ซึ่งเป็นระดับสูงสุดที่เป็นไปได้ เนื่องจาก “ความเสี่ยงที่สูงขึ้นในการตกเป็นเป้าหมายโดยการแสวงหาประโยชน์ในป่าสำหรับเวอร์ชันและแพลตฟอร์มผลิตภัณฑ์ที่กำหนด”

บริษัทได้เปิดตัวแพทช์รักษาความปลอดภัยฉุกเฉิน (ColdFusion 2021 อัปเดต 18 และ ColdFusion 2023 อัปเดต 12) แนะนำให้ผู้ใช้ติดตั้งแพตช์เหล่านี้ “ภายใน 72 ชั่วโมง” เพื่อลดความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นที่เกี่ยวข้องกับข้อบกพร่องที่สำคัญนี้

นอกจากนี้ Adobe ยังแนะนำให้ผู้ใช้ใช้การตั้งค่าการกำหนดค่าความปลอดภัยตามรายละเอียดในโคลด์ฟิวชั่น 2023และโคลด์ฟิวชั่น 2021คู่มือการล็อคดาวน์

แม้ว่า Adobe ยังไม่ได้ยืนยันการใช้ประโยชน์จากช่องโหว่ดังกล่าว แต่ก็ได้เรียกร้องให้ผู้ใช้ตรวจสอบการอัปเดตที่อัปเดตแล้วเอกสารประกอบตัวกรองแบบอนุกรมเพื่อป้องกันการโจมตีดีซีเรียลไลเซชัน WDDX ที่ไม่ปลอดภัย