CISA ha agregado una vulnerabilidad crítica que afecta las versiones 2021 y 2018 de Adobe ColdFusion a su catálogo de errores de seguridad explotados en la naturaleza.
Esta falla crítica de ejecución de código arbitrario (CVE-2023-26360) se debe a una debilidad de control de acceso inadecuado , y atacantes no autenticados pueden abusar de ella de forma remota en ataques de baja complejidad que no requieren la interacción del usuario.
Adobe abordó la vulnerabilidad del servidor de aplicaciones en ColdFusion 2018 Update 16 y ColdFusion 2021 Update 6 y dijo que fue explotado en ataques como un día cero.
“Adobe es consciente de que CVE-2023-26360 ha sido explotado en la naturaleza en ataques muy limitados dirigidos a Adobe ColdFusion”, dijo la compañía en un aviso de seguridad emitido este martes.
Si bien la falla también afecta las instalaciones de ColdFusion 2016 y ColdFusion 11, Adobe ya no proporciona actualizaciones de seguridad para las versiones que no tienen soporte.
Se recomienda a los administradores que instalen las actualizaciones de seguridad lo antes posible (dentro de las 72 horas, si es posible) y que apliquen los ajustes de configuración de seguridad descritos en las guías de bloqueo de ColdFusion 2018 y ColdFusion 2021.
Actualizaciones de seguridad etiquetadas como urgentes por CISA, investigadores
CISA ha otorgado a todas las agencias de la Rama Ejecutiva Civil Federal de EE. UU. (FCEB, por sus siglas en inglés) tres semanas, hasta el 5 de abril , para proteger sus sistemas contra posibles ataques utilizando exploits CVE-2023-26360.
Aunque la directiva operativa vinculante de noviembre de 2021 (BOD 22-01) detrás de la orden de CISA solo se aplica a las agencias federales, se insta encarecidamente a todas las organizaciones a parchear sus sistemas para frustrar los intentos de explotación que puedan tener como objetivo sus redes.
“Este tipo de vulnerabilidades son vectores de ataque frecuentes para los actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal”, dijo CISA .
Si bien Adobe también publicó una publicación de blog separada que anunciaba las actualizaciones de seguridad de ColdFusion 2021 y 2018 de marzo de 2023, no mencionó que las vulnerabilidades de seguridad parcheadas también se explotaron en la naturaleza.
Charlie Arehart, uno de los dos investigadores de seguridad acreditados por descubrir e informar el error CVE-2023-26360, advirtió a los administradores de ColdFusion en un comentario en la publicación del blog de Adobe sobre la importancia real de las actualizaciones de seguridad y la necesidad de parchearlas con urgencia.
«Esta solución de seguridad es mucho más importante de lo que sugiere la redacción de esta publicación de blog e incluso de lo que sugerirían las notas técnicas de actualización», advirtió Arehart .
«Para ser claros, HE visto personalmente que las vulnerabilidades de ‘ejecución de código arbitrario’ y ‘lectura arbitraria del sistema de archivos’ han sido perpetradas en múltiples servidores, y ES grave».
Fuente y redacción: thehackernews.com