Rapid7的安全研究人員發(fā)現(xiàn)Adobe ColdFusion(一個(gè)web開發(fā)計(jì)算平臺)的多個(gè)漏洞被積極利用。

2023年7月11日，Adobe發(fā)布了幾個(gè)影響ColdFusion的漏洞補(bǔ)丁，包括rapid7發(fā)現(xiàn)的訪問控制繞過漏洞(CVE-2023-29298)和允許任意代碼執(zhí)行的不安全反序列化漏洞(CVE-2023-29300)。

然而，Rapid7最近觀察到其中一些漏洞在幾天后仍然被利用，并且一些補(bǔ)丁不完整。他們在7月17日的一份報(bào)告中發(fā)表了他們的研究。研究人員解釋說，這個(gè)問題是由于兩個(gè)反序列化漏洞之間的混淆。

7月11日針對不安全反序列化漏洞的補(bǔ)丁實(shí)現(xiàn)了一個(gè)類的拒絕列表，這些類不能被Web分布式數(shù)據(jù)交換(WDDX)數(shù)據(jù)反序列化，這些數(shù)據(jù)構(gòu)成了對ColdFusion的某些請求的一部分。

然而，來自開源項(xiàng)目發(fā)現(xiàn)計(jì)劃的研究人員發(fā)現(xiàn)了一個(gè)解決方案，使用一個(gè)不在Adobe否認(rèn)列表中的類，可以用作反序列化小工具來實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

他們首先發(fā)表了他們的發(fā)現(xiàn)，然后在7月12日迅速將其撤下。

Rapid7認(rèn)為，“發(fā)現(xiàn)項(xiàng)目很可能認(rèn)為他們發(fā)布的是針對CVE-2023-29300的n天漏洞，而實(shí)際上，發(fā)現(xiàn)項(xiàng)目詳細(xì)描述的是一個(gè)新的零日漏洞鏈，CVE-2023-38203。“

Adobe發(fā)布了針對CVE-2023-38203的安全更新，但目前，CVE記錄仍處于保留狀態(tài)，這意味著該補(bǔ)丁仍在審查中。

此外，Rapid7觀察到，威脅行為者似乎正在利用CVE-2023-29298和CVE-2023-38203，并且一個(gè)微小的修改漏洞仍然可以針對最新版本的ColdFusion(7月14日發(fā)布)，這意味著CVE-2023-29298的補(bǔ)丁是不完整的。

目前沒有針對CVE-2023-29298的緩解措施，但Rapid7在野外觀察到的漏洞鏈依賴于次要漏洞在目標(biāo)系統(tǒng)上完全執(zhí)行。因此，更新到最新版本的ColdFusion修復(fù)了CVE-2023-38203，應(yīng)該仍然可以防止我們的MDR團(tuán)隊(duì)觀察到的攻擊者行為。