Adobe ColdFusion脆弱性レポート | Cloud-Based Platform AIONCLOUD

Threat Intelligence Report

Get up-to-date information on web application vulnerabilities, attacks, and how to respond.

Back to Threat Intelligence Report

Adobe ColdFusion脆弱性レポート

2023.11 - Adobe ColdFusion

Adobe ColdFusion に複数の脆弱性

 

1.概要 :

Adobe ColdFusion は、Adobe が提供するウェブアプリケーション開発プラットフォームです。この要約は、このプラットフォームで最近発見されたリモートコード実行 (RCE) 脆弱性、すなわち CVE-2023-26360、CVE-2023-26361、CVE-2023-29298、および CVE-2023-38205 の解析をまとめたものである。

 

image.png

 

2. 攻撃の種類:

アドビは、今年3月にAdobe ColdFusion 2018 15および2021 5バージョンで発見された脆弱性に対するパッチを発表しました。

これらの脆弱性には、安全でないデシリアライズに起因するリモートコード実行(RCE)の脆弱性2件と、任意のファイルを読み取るためのディレクトリトラバーサルを許す脆弱性1件が含まれていました。Adobeは、安全でないデシリアライズの脆弱性(CVE-2023-26360)にパッチで対処した。

 

1) CVE-2023-26360

当初、この脆弱性は、CVE-2023-26359 および CVE-2023-26360 として発表されましたが、その後の解析により、両脆弱性が根本的な問題を共有していることが判明し、統一的な解析に至りました。

この脆弱性は、Adobe ColdFusion サービスの .cfc エンドポイントに _cfclient パラメータを true に設定してリクエストを送信した場合に発生し、シリアライズされたデータに任意のファイルパスを挿入して実行させることができます。攻撃方法は2つあります:

  • 悪意のあるJavaクラスファイル(拡張子は.txt、.tmp、.cfcなど)をAdobe ColdFusionのインストールディレクトリからアクセス可能な場所に保存し、悪意のあるJavaクラスファイルにアクセスして実行する。
  • 悪意のあるコマンドを含むCFMLタグをログファイルなどの既存ファイルに注入し、それらのファイル内の悪意のあるコードへのアクセスと実行を誘引する。

 

2) cve-2023-26361

この脆弱性は、Adobe ColdFusion サービスに存在し、制限されたディレクトリの範囲を超えて、任意のシステムファイルを読み込むことを可能にします。この脆弱性は、ユーザによる操作を必要としませんが、管理者権限を必要とします。

通常、この脆弱性は CVE-2023-26360 と共に悪用され、"../" 文字列を利用して制限されたディレクトリ範囲外のファイルにアクセスします。

 

3) CVE-2023-29298

今年3月のAdobe ColdFusionのパッチ後に発見されたCVE-2023-29298は、アクセス制御バイパスの脆弱性である。Adobeは今年7月にこの脆弱性に対するパッチを発表した。

Adobe ColdFusionの特定のIP制限パスに「/」を付加することで、攻撃者はアクセス制御をバイパスし、ColdFusion管理者インターフェースにアクセスすることができます。このインターフェイスを通じて、機密情報が漏洩したり、ブルートフォース攻撃によって管理者アカウントが侵害されたりする可能性があります。

この脆弱性は、CVE-2023-26360 と組み合わせて悪用され、サーバー内の任意のファイルを読み取られたり、悪意のあるコードを実行されたりする可能性もあります。

 

4) CVE-2023-38205

この脆弱性は今年7月に確認されたもので、Adobe ColdFusionの脆弱性CVE-2023-29298に対するパッチを回避します。CVE-2023-29298 パッチの欠点を悪用し、アクセス制御を回避します。

Adobeは、パスから". "や"/"などの文字を削除する方法を追加することで、CVE-2023-29298の脆弱性に対処した。具体的には、特定のメソッドで「/...」構文が検出された場合、この構文を含む直前のパスが削除されます。しかし、.cfm や .cfc ファイルに対するその後のアクセス制御が実装されていないため、このパッチをバイパスして制限された cfc や cfm エンドポイントへのアクセスが可能になってしまいます。

この脆弱性は、CVE-2023-29298 と同様に、ブルートフォース攻撃によって機密情報の漏洩や管理者アカウントの漏洩につながる可能性があります。また、CVE-2023-26360 と組み合わせて悪用される可能性もあります。

 

3.対応策 :

Adobe社よりこれらの脆弱性に対するパッチが公開されているため、Adobe ColdFusion 2018 バージョン17以上、Adobe ColdFusion 2021 バージョン7以上にアップデートすることで対応が可能です。

当社のAIWAF製品では、それぞれ「Adobe ColdFusion Deserialization RCE」、「COLDFUSION Credential Disclosure」というパターンを用いて、CVE-2023-26360、CVE-2023-26361を悪用した攻撃構文を検知しています。さらに、CVE-2023-38205は「ディレクトリアクセス検出」ポリシーによって検出されます。

CVE-2023-29298については、CVE-2023-26360に関連する攻撃構文は、現時点では前述のパターンによって検出されます。ただし、アクセス制御の回避のみを目的とした攻撃については、さらなる分析とパターン開発が進行中です。

 

4.結論

Adobe ColdFusionに発見された脆弱性は、単純な条件ではあるものの、CVSSスコアが最大9.6という重大なリスクをもたらすものです。これらの脆弱性を軽減するためには、最新バージョンへのアップデートが不可欠です。

当社のAIWAF製品では、Adobe ColdFusionの脆弱性に対応するパターンを積極的に開発しており、今後もAdobe ColdFusionに関連する脆弱性が新たに発見された場合には、迅速に対応していく。

Copyright 2024 AIONCLOUD's All Right Reserved| Privacy Policy| Terms of Use| Cookie Settings
Scroll Up