หน่วยงานรักษาความปลอดภัยทางไซเบอร์และความปลอดภัยโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้รวมข้อบกพร่องร้ายแรง ซึ่งระบุว่าเป็น CVE-2023-26359 ด้วยคะแนน CVSS ที่ 9.8 ซึ่งส่งผลต่อ Adobe ColdFusion ในแค็ตตาล็อกช่องโหว่ที่รู้จัก ข้อมูลนี้รายงานโดย Security Affairs
รายละเอียดของช่องโหว่
ข้อบกพร่อง ซึ่ง Adobe กล่าวถึงในเดือนมีนาคม 2023 เกี่ยวข้องกับการดีซีเรียลไลซ์ข้อมูลที่ไม่น่าเชื่อถือใน Adobe ColdFusion ซึ่งอาจส่งผลให้เกิดการเรียกใช้โค้ดโดยอำเภอใจในบริบทของผู้ใช้ปัจจุบัน คำแนะนำของ Adobe เน้นย้ำว่า ColdFusion เวอร์ชัน 2018 อัปเดต 15 (และก่อนหน้า) และ 2021 อัปเดต 5 (และก่อนหน้า) ของ ColdFusion มีความอ่อนไหวต่อช่องโหว่นี้ โดยเฉพาะอย่างยิ่ง การใช้ประโยชน์จากข้อบกพร่องนี้ไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้ Adobe รับทราบบางกรณีของการโจมตีที่ใช้ประโยชน์จากข้อบกพร่องนี้
คำสั่งสำหรับหน่วยงานรัฐบาลกลาง
สอดคล้องกับ คำสั่งผูกมัดการปฏิบัติงาน (BOD) ของ CISA 22-01, ซึ่งมีจุดมุ่งหมายเพื่อลดความเสี่ยงที่สำคัญของช่องโหว่ที่ถูกแสวงหาผลประโยชน์ โดยหน่วยงานบริหารสาขาบริหารพลเรือนของรัฐบาลกลางสหรัฐ (FCEB) จำเป็นต้องแก้ไขช่องโหว่ที่ระบุเหล่านี้ภายในกำหนดเวลาที่กำหนดเพื่อปกป้องเครือข่ายจากการโจมตีที่อาจเกิดขึ้น กำหนดเวลาที่ CISA กำหนดไว้สำหรับหน่วยงานรัฐบาลกลางในการแก้ไขข้อบกพร่องนี้คือวันที่ 11 กันยายน 2023 ผู้เชี่ยวชาญยังแนะนำให้องค์กรเอกชนตรวจสอบแคตตาล็อกและแก้ไขช่องโหว่ใดๆ ที่มีอยู่ในโครงสร้างพื้นฐานของตน
การใช้ประโยชน์ก่อนหน้านี้และการตอบสนองของ Adobe
Adobe เคยเตือนก่อนหน้านี้เกี่ยวกับ ข้อบกพร่องซีโรเดย์ที่สำคัญในแพลตฟอร์มการพัฒนาเว็บแอป ColdFusion ซึ่ง ถูกโจมตีในจำนวนที่จำกัด ข้อบกพร่องนี้ ซึ่งกำหนดให้เป็น CVE-2023-26360 โดยมีคะแนนฐาน CVSS อยู่ที่ 8.6 เกี่ยวข้องกับ การควบคุมการเข้าถึงที่ไม่เหมาะสม ช่วยให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดได้ตามใจชอบ ช่องโหว่นี้อาจนำไปสู่การอ่านระบบไฟล์โดยอำเภอใจและหน่วยความจำรั่ว บริษัทยังได้แก้ไขข้อบกพร่อง ColdFusion Path Traversal CVE-2023-26361 ซึ่งอาจนำไปสู่ หน่วยความจำรั่ว ในเดือนมีนาคม พ.ศ. 2566 Adobe ได้เปิดตัวแพตช์หลายรายการเพื่อแก้ไขช่องโหว่ทั้งหมด 105 รายการในผลิตภัณฑ์ต่างๆ อย่างไรก็ตาม มีเพียงแพตช์สำหรับ ColdFusion เท่านั้นที่ถูกระบุว่ากำลังถูกโจมตี
