Adobe telah merilis pembaruan keamanan di luar jalur untuk mengatasi kerentanan ColdFusion dengan kode eksploitasi proof-of-concept (PoC).
Dalam pernyataan yang dirilis pada hari Senin, 23 Desember 2024, perusahaan tersebut mengatakan bahwa celah disebabkan oleh kelemahan penelusuran jalur yang mempengaruhi versi Adobe ColdFusion 2023 dan 2021. Hal ini dapat memungkinkan penyerang untuk membaca file sembarang di server yang rentan.
“Adobe menyadari bahwa CVE-2024-53961 memiliki bukti konsep yang diketahui dapat menyebabkan pembacaan sistem file sembarangan,” kata Adobe, sambil juga memperingatkan pelanggan bahwa mereka memberikan penilaian keparahan “Prioritas 1” pada celah tersebut karena memiliki “risiko lebih tinggi untuk menjadi target, oleh eksploitasi di alam liar untuk versi produk dan platform tertentu.”
Perusahaan menyarankan para administrator untuk segera menginstal patch keamanan darurat (ColdFusion 2021 Update 18 dan ColdFusion 2023 Update 12), “misalnya, dalam waktu 72 jam,” dan menerapkan pengaturan konfigurasi keamanan yang dijelaskan dalam panduan lockdown ColdFusion 2023 dan ColdFusion 2021.
Meskipun Adobe belum mengungkapkan apakah kerentanan ini telah dieksploitasi di dunia nyata, mereka menyarankan pelanggan hari ini untuk meninjau dokumentasi filter serial yang diperbarui untuk informasi lebih lanjut tentang cara memblokir serangan deserialisasi Wddx yang tidak aman.
Seperti yang diperingatkan oleh CISA pada bulan Mei ketika mendorong perusahaan perangkat lunak untuk menghilangkan bug keamanan path traversal sebelum mengirimkan produk mereka, penyerang dapat mengeksploitasi kerentanan tersebut untuk mengakses data sensitif, termasuk kredensial yang dapat digunakan untuk brute-force akun yang sudah ada dan membobol sistem target.
“Kerentanan seperti traversal direktori telah disebut ‘tak termaafkan’ sejak tahun 2007. Terlepas dari temuan ini, kerentanan traversal direktori (seperti CWE-22 dan CWE-23) masih merupakan kelas kerentanan yang umum”, kata CISA.
Tahun lalu, pada Juli 2023, CISA juga memerintahkan lembaga federal untuk mengamankan server Adobe ColdFusion mereka sebelum 10 Agustus terhadap dua kerentanan keamanan kritis (CVE-2023-29298 dan CVE-2023-38205) yang dieksploitasi dalam serangan, salah satunya sebagai zero-day.
Agen keamanan siber AS juga mengungkapkan satu tahun yang lalu, bahwa para peretas telah menggunakan kerentanan kritis ColdFusion lainnya (CVE-2023-26360) untuk membobol server pemerintah yang sudah usang sejak Juni 2023. Kekurangan yang sama telah secara aktif dieksploitasi dalam “serangan yang sangat terbatas” sebagai zero-day sejak Maret 2023.
Sumber:
https://www.bleepingcomputer.com/news/security/adobe-warns-of-critical-coldfusion-bug-with-poc-exploit-code
https://helpx.adobe.com/security/products/coldfusion/apsb24-107.html
https://www.bleepingcomputer.com/news/security/cisa-urges-software-devs-to-weed-out-path-traversal-vulnerabilities