La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso riguardo allo sfruttamento attivo di una vulnerabilità critica in Adobe ColdFusion, identificata come CVE-2023-26360, per ottenere l’accesso iniziale ai server governativi.
Dettagli della Vulnerabilità
La vulnerabilità in ColdFusion si presenta come un problema di controllo di accesso improprio e la sua sfruttamento può portare all’esecuzione di codice arbitrario sui server che eseguono Adobe ColdFusion 2018 Update 15 e versioni precedenti, e 2021 Update 5 e precedenti. È stata sfruttata come zero-day prima che Adobe la correggesse a metà marzo rilasciando ColdFusion 2018 Update 16 e 2021 Update 6.
Incidenti Segnalati
CISA ha avvertito che CVE-2023-26360 è ancora sfruttata negli attacchi, mostrando incidenti da giugno che hanno colpito due sistemi di agenzie federali. In entrambi gli incidenti, Microsoft Defender for Endpoint (MDE) ha segnalato il potenziale sfruttamento di una vulnerabilità Adobe ColdFusion su server web pubblici nell’ambiente di pre-produzione dell’agenzia.
Modus Operandi degli Attaccanti
Gli attaccanti hanno sfruttato la vulnerabilità per rilasciare malware utilizzando comandi HTTP POST nel percorso della directory associato a ColdFusion. Hanno condotto l’enumerazione dei processi insieme a controlli di rete e installato una web shell che ha permesso loro di inserire codice in un file di configurazione ColdFusion ed estrarre credenziali. Le loro attività includevano l’eliminazione di file utilizzati nell’attacco per nascondere la loro presenza e la creazione di file nella directory C:\IBM per facilitare operazioni malevoli non rilevate.
Raccomandazioni di CISA
Per mitigare il rischio, CISA raccomanda di aggiornare ColdFusion all’ultima versione disponibile, applicare la segmentazione di rete, configurare un firewall o WAF e imporre politiche di esecuzione di software firmato.
Altri avvisi CISA
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente aggiunto nuove vulnerabilità al suo Catalogo delle Vulnerabilità Conosciute Sfruttate e ha rilasciato due avvisi sui sistemi di controllo industriale (ICS). Queste azioni sono parte degli sforzi continui di CISA per proteggere le infrastrutture critiche e le reti federali da minacce informatiche.
Aggiunte al Catalogo delle Vulnerabilità Conosciute Sfruttate
CISA ha aggiunto sei nuove vulnerabilità al suo catalogo, basandosi su prove di sfruttamento attivo:
- CVE-2023-33106: Vulnerabilità di utilizzo di offset di puntatore fuori intervallo in chipset Qualcomm multipli.
- CVE-2023-33063: Vulnerabilità di uso dopo la liberazione in chipset Qualcomm multipli.
- CVE-2023-33107: Vulnerabilità di overflow intero in chipset Qualcomm multipli.
- CVE-2022-22071: Vulnerabilità di uso dopo la liberazione in chipset Qualcomm multipli.
- CVE-2023-42917: Vulnerabilità di corruzione della memoria WebKit in prodotti Apple multipli.
- CVE-2023-42916: Vulnerabilità di lettura fuori limiti WebKit in prodotti Apple multipli.
Queste vulnerabilità rappresentano vettori di attacco frequenti per attori informatici malevoli e costituiscono rischi significativi per l’impresa federale.
Direttiva Operativa Vincolante (BOD) 22-01
La BOD 22-01 stabilisce il Catalogo delle Vulnerabilità Conosciute Sfruttate come un elenco vivente di vulnerabilità e esposizioni comuni (CVE) che comportano rischi significativi per l’impresa federale. La BOD 22-01 richiede alle agenzie del ramo esecutivo civile federale (FCEB) di rimediare alle vulnerabilità identificate entro la data di scadenza per proteggere le reti FCEB contro minacce attive.
Avvisi sui Sistemi di Controllo Industriale
CISA ha rilasciato due avvisi ICS il 5 dicembre 2023, fornendo informazioni tempestive su problemi di sicurezza attuali, vulnerabilità e exploit relativi agli ICS. CISA incoraggia gli utenti e gli amministratori a rivedere gli avvisi ICS appena rilasciati per dettagli tecnici e mitigazioni.
- ICSA-23-339-01 Zebra ZTC Industrial ZT400 and Desktop GK420d
- ICSA-23-208-03 Mitsubishi Electric CNC Series (Update D)
Queste azioni di CISA sottolineano l’importanza di una gestione proattiva delle vulnerabilità e della sicurezza informatica, specialmente per le infrastrutture critiche e le reti governative. L’agenzia continua a monitorare e aggiungere vulnerabilità al catalogo che soddisfano i criteri specificati e incoraggia tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici.