Adobe ColdFusion 취약점 보고서 | Cloud-Based Platform AIONCLOUD

Threat Intelligence Report

Get up-to-date information on web application vulnerabilities, attacks, and how to respond.

Threat Intelligence Report 메인페이지로 돌아가기

Adobe ColdFusion 취약점 보고서

2023.11 - Adobe ColdFusion

Adobe ColdFusion Multiple vulnerability

1. 개요

Adobe ColdFusion은 Adobe에서 제공하는 웹 어플리케이션 개발 플랫폼으로, 최근 해당 플랫폼에서 발견된 원격 코드 실행 (RCE) 취약점인 CVE-2023-26360, CVE-2023-26361, CVE-2023-29298, CVE-2023-38205에 대해 분석한 내용을 정리하였습니다.

image.png


2. 공격 유형

Adobe 측에서는 올해 3월 Adobe ColdFusion 2018 15, 2021 5 버전에서 발견된 취약점들에 대한 패치를 발표하였습니다.

해당 취약점은 안전하지 않는 역직렬화로 발생하는 RCE 취약점 2건과 임의 파일을 읽을 수 있는 경로 순회 취약점 1건이었으며, Adobe에서는 그 중 안전하지 않는 역직렬화 취약점인 CVE-2023-26360에 대해 패치를 진행하였습니다.

1) CVE-2023-26360

처음 발표되었을 때는 CVE-2023-26359와 CVE-2023-26360으로 구분되어 발표되었으나 이후 추가적인 분석 결과 같은 문제점을 가진 공격으로 확인되어 두 취약점에 대한 분석이 통합되었습니다.

해당 취약점은 Adobe ColdFusion 서비스에서 .cfc endploit에 요청 전송 시 _cfclient 파라미터 값을 true로 설정하고 직렬화된 데이터에 임의 파일 경로를 삽입하여 해당 파일을 실행할 수 있는 취약점으로, 2가지 공격 방식이 존재합니다.

  1. Adobe ColdFusion이 설치된 디스크에 악의적인 Java 클래스 파일(.txt, tmp, .cfc등 의 확장자로 가능)을 접근 가능한 위치에 저장 후 해당 파일 경로에 접근하여 악성 Java 클래스 파일을 실행하는 공격 방식입니다.
  2. 로그 파일과 같이 기존에 존재하는 파일에 악성 명령이 담긴 CFML 태그를 삽입 후, 해당 로그 파일에 접근 및 실행하도록 유도하여 악성 코드를 실행 하는 공격 방식 입니다.
2) CVE-2023-26361

해당 취약점은 Adobe ColdFusion 서비스에서 제한된 디렉토리 범위를 벗어나 임의 시스템 파일을 읽을 수 있는 취약점으로, 따로 사용자 상호 작용이 필요하지 않지만 관리자 권한이 필요하다는 조건이 있습니다.

해당 조건으로 보통 CVE-2023-26360과 연계하여 ../ 문자열를 활용해 제한된 디렉토리 범위를 벗어나 파일에 접근하는 방식으로 악용됩니다.

3) CVE-2023-29298

해당 취약점은 올해 3월 Adobe ColdFusion 패치 이후 발견된 접근 제어 우회 취약점으로, Adobe측에서는 올해 7월 해당 취약점에 대한 정보를 공개하면서 패치를 발표하였습니다.

기본적으로 Adobe ColdFusion은 특정 IP만 접근 가능한 경로가 존재하는데, 해당 경로에 / 문자를 추가하여 접근 제어를 우회, ColdFusion Administrator 인터페이스에 접근이 가능하고, 이를 통해 민감한 정보를 유출 시키거나 무차별 대입 공격으로 Admin 계정을 탈취할 수 있습니다.

해당 취약점은 CVE-2023-26360과 연계하여 서버 내 임의 파일을 읽거나 악성 코드를 실행하는 방식으로도 악용됩니다.

4) CVE-2023-38205

해당 취약점은 올해 7월 Adobe ColdFusion CVE-2023-29298 취약점에 대한 패치를 우회하는 취약점으로, CVE-2023-29298 패치의 문제점을 활용해 접근 제어를 우회합니다.

Adobe에서는 CVE-2023-29298 취약점에 대해 ..이나 / 문자 등을 제거하는 메서드를 추가하는 방법으로 패치를 진행하였습니다.

이때 특정 메서드에서 /.. 구문이 발견된 경우 해당 구문을 포함한 이전 경로를 제거하도록 설계되어 있는데, 이후 .cfm이나 .cfc에 대한 접근 제어가 이루어지지 않아 해당 패치를 역이용하여 제한된 cfc나 cfm endpoint에 접근이 가능하게 되었습니다.

이 취약점은 CVE-2023-29298과 동일하게 민감한 정보를 유출 시키거나 무차별 대입 공격으로 Admin 계정을 탈취할 수 있으며, CVE-2023-26360과 연계도 가능합니다.


3. 대응 방안

Adobe에서는 해당 취약점들에 대한 패치를 발표하였기 때문에 Adobe ColdFusion 2018은 17 이상, Adobe ColdFusion 2021은 7 이상 버전으로 업데이트를 진행하여 대응이 가능합니다.

저희 AIWAF 제품에서는 CVE-2023-26360 및 CVE-2023-26361의 경우 "Adobe ColdFusion Deserialization RCE" 및 "COLDFUSION Credential Disclosure" 패턴으로 해당 취약점을 악용한 공격 구문을 탐지하고 있으며, CVE-2023-38205는 "디렉토리 접근 탐지" 정책에서 탐지됩니다.

CVE-2023-29298의 경우 CVE-2023-26360과 연계되어 사용되는 공격 구문은 위 패턴에 의해 탐지되고 있으나, 접근 제어 우회 만을 목적으로 한 공격에 대해서는 추가 분석 및 패턴 개발 단계에 있습니다.


4. 결론

Adobe ColdFusion에서 발견된 취약점의 경우 조건은 간단하지만 영향력이 엄청나 CVSS 점수 최대 9.6을 받을 정도로 위험도가 높은 취약점들로, 최신 버전으로 업데이트가 필요합니다.

저희 AIWAF 제품에서는 Adobe ColdFusion에서 발생하는 취약점들에 대해 패턴을 개발하여 대응하고 있으며, 앞으로도 발견되는 Adobe ColdFusion 관련 취약점들에 대해서도 신속하게 대응할 예정입니다.

Scroll Up