Sommario
La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha inserito una grave vulnerabilità di sicurezza in Adobe ColdFusion nel suo catalogo di Vulnerabilità Conosciute e Sfruttate (KEV), a seguito di prove di sfruttamento attivo.
Dettagli della vulnerabilità
La vulnerabilità, catalogata come CVE-2023-26359 con un punteggio CVSS di 9.8, riguarda un difetto di deserializzazione presente in Adobe ColdFusion 2018 (Aggiornamento 15 e precedenti) e ColdFusion 2021 (Aggiornamento 5 e precedenti). Questo difetto potrebbe portare all’esecuzione arbitraria di codice nel contesto dell’utente corrente senza richiedere alcuna interazione. La deserializzazione, o unmarshaling, si riferisce al processo di ricostruzione di una struttura dati o di un oggetto da un flusso di byte. Tuttavia, quando viene eseguita senza validare la sua origine o sanificare il suo contenuto, può portare a conseguenze inaspettate, come l’esecuzione di codice o il denial-of-service (DoS).
Misure adottate
Adobe ha corretto la vulnerabilità come parte degli aggiornamenti rilasciati a marzo 2023. Al momento della scrittura, non è immediatamente chiaro come la vulnerabilità venga sfruttata attivamente. Tuttavia, questa evoluzione arriva più di cinque mesi dopo che la CISA ha inserito un’altra vulnerabilità che colpisce lo stesso prodotto (CVE-2023-26360) nel catalogo KEV. Adobe ha dichiarato di essere a conoscenza della debolezza sfruttata in “attacchi molto limitati” diretti a ColdFusion.
Azioni richieste
Alla luce dello sfruttamento attivo, le agenzie del ramo esecutivo civile federale (FCEB) sono tenute ad applicare le patch necessarie entro l’11 settembre 2023 per proteggere le loro reti da potenziali minacce.
