最后更新于2023年8月10日星期四20:45:27 GMT
Rapid7管理服务团队已经观察到在多个客户环境中利用Adobe ColdFusion. 到目前为止,我们小组应对的攻击似乎是连锁的 cve - 2023 - 29298, rapid7在7月11日披露的ColdFusion中发现了一个访问控制绕过, 有一个额外的漏洞. 我们的团队观察到的行为似乎与零日漏洞攻击一致 发表 (随后被“发现计划”拆除) 7月12日左右.
Background
7月11日,星期二,Adobe 发布的补丁 包括rapid7发现的ColdFusion漏洞 访问控制绕过漏洞 (cve - 2023 - 29298),我们与供应商协调披露. 7月13日, Rapid7管理服务团队开始观察在多个客户环境中对Adobe ColdFusion的利用. 根据现有证据, 威胁行为者似乎正在利用cve - 2023 - 29298以及次要漏洞. 我们的团队正在观察的行为 出现 与…一致 cve - 2023 - 38203,这是 发表 然后被“发现计划”撤下 7月12日左右.
“发现计划”很有可能以为他们发布了一个n天的漏洞 cve - 2023 - 29300 在7月12日的博客文章中. Adobe发布了cve - 2023 - 29300的修复程序, 哪一个是允许任意代码执行的反序列化漏洞, 7月11日. 事实上, Project Discovery详细描述了Adobe在一次带外更新中修复的一个新的零日漏洞链 7月14日.
cve - 2023 - 29300的补丁实现了一个类的否认列表,这些类不能被Web分布式数据交换(WDDX)数据反序列化,这些数据构成了对ColdFusion的某些请求的一部分. Adobe可能无法完全删除此WDDX功能, 因为这会破坏所有依赖于它的东西, 所以不是禁止WDDX数据的反序列化, 它们实现了无法反序列化的Java类路径的否认列表(因此攻击者无法指定位于这些类路径中的反序列化小工具)。.
“发现计划”的作者显然想出了一个可行的小工具.e., 一个不在Adobe的拒绝列表上的类,可以用作基于类的反序列化小工具来实现远程代码执行 com.太阳.行集.JdbcRowSetImpl
. Project Discovery团队可能没有意识到他们发现的是一个新的零日漏洞,(我们假设)在Adobe修复漏洞时关闭了他们的博客. 7月14日星期五,Adobe 发布带外补丁 针对cve - 2023 - 38203 -一个新的反序列化漏洞. 这个补丁唯一做的就是添加类路径 !com.太阳.行集.**
揭穿了“发现计划”于7月12日发布的漏洞.
不完整修复了cve - 2023 - 29298
Rapid7的研究人员周一做出了决定, Adobe在7月11日提供的cve - 2023 - 29298修复程序不完整, 并且一个微小的修改漏洞仍然可以攻击最新版本的ColdFusion(7月14日发布)。. 我们已经通知Adobe他们的补丁不完整. 在本文发布时,cve - 2023 - 29298没有缓解措施, 但Rapid7在野外观察到的漏洞链依赖于一个次要漏洞在目标系统上完全执行. 因此, 更新到最新版本的ColdFusion修复了cve - 2023 - 38203,应该仍然可以防止我们的耐多药团队观察到的攻击者行为.
注意: Adobe 发布修复 为7月19日cve - 2023 - 29298的补丁旁路,并将其分配为CVE-2023-38205. Rapid7已经确认新补丁有效.
受影响的产品
以下版本的ColdFusion都容易受到cve - 2023 - 29298和cve - 2023 - 38203的攻击:
- Adobe ColdFusion 2023更新
- Adobe ColdFusion 2021更新7及以下
- Adobe ColdFusion 2018更新17及以下版本
下面的ColdFusion版本包含7月14日针对cve - 2023 - 38203的带外补丁 仍然容易受到cve - 2023 - 29298的攻击:
- Adobe ColdFusion 2023 Update 2及更早版本
- Adobe ColdFusion 2021 Update 8及更早版本
- Adobe ColdFusion 2018 Update 18及更早版本
的 最新的固定版本 截至7月19日,ColdFusion的漏洞如下,应该修复cve - 2023 - 29298, cve - 2023 - 38203, 和cve - 2023 - 38205:
- Adobe ColdFusion 2023 update
- Adobe ColdFusion 2021更新
- Adobe ColdFusion 2018更新19
观察到的攻击者行为
Rapid7在IIS日志中观察到发送到文件的POST请求(见下面的例子) accessmanager.氯氟化碳
为了利用这个漏洞.
然后,攻击者在端点上执行编码的PowerShell命令,以创建一个webshell来访问该端点. 网壳通常在 \ wwwroot \ CFIDE
目录: .\ ColdFusion11 \ cfusion \ wwwroot \ CFIDE \ ckeditr.cfm
此外,Rapid7将cURL命令观察到以下Burpsuite URL,以及 夜间电报/ domain_trusts
相关活动,以便查询域控制器. : hXXp: / / rlgt1hin2gdk2p3teyhuetitrkxblg95.oastify [.] com
国际石油公司
IP地址:
62.233.50[.]13
5.182.36[.]4
195.58.48[.]155
域:
- oastify [.] com
- ckeditr [.cfm (SHA256 08D2D815FF070B13A9F3B670B2132989C349623DB2DE154CE43989BB4BBB2FB1)
缓解指导
Adobe ColdFusion客户应立即更新到最新版本的ColdFusion并阻止域 oastify [.] com
. 截至7月19日,ColdFusion的最新版本已经发布 APSB23-47这里.
Adobe的7月14日和7月19日 报告 还要明确注意以下几点, 除了应用最新的更新之外,ColdFusion客户可能还需要考虑实施:
如果您将来发现任何具有反序列化漏洞的包, 使用serialfilter.文本文件
拒绝列出包裹(例如: !org.jgroups.**;
).
Rapid7客户
InsightVM和expose客户可以使用7月17日发布的漏洞检查来评估他们对cve - 2023 - 29298和cve - 2023 - 38203的暴露程度. 请注意,之前针对cve - 2023 - 29298的漏洞检查已经更新,以反映修复不完整. CVE-2023-38205的漏洞检查正在开发中,预计将于7月20日发布, 2023年内容发布.
insighttidr和管理检测 & 响应客户通过Rapid7扩展的检测规则库拥有现有的检测覆盖范围. 部署了以下检测规则,并对与此漏洞相关的利用后活动发出警报:
- Webshell -可能的ColdFusion Webshell命令行(部署时间:2023年3月)
- 攻击者技术-冷融合生成卷曲.Exe或wget.exe(已部署:2023年7月)
- 攻击工具- PowerShell -noni -ep -nop标志(部署时间:2019年8月)
- 攻击者技术- PowerShell下载摇篮(部署时间:2019年1月)
- PowerShell -混淆脚本(部署时间:2018年3月)
- 可疑进程-命令行中与Burpsuite相关的域(部署:2020年10月)
管理检测 & 响应客户请注意:如果Rapid7 耐多药团队在您的环境中检测到可疑活动, 您的客户顾问将直接与您联系.