В минувший вторник Adobe начала раздавать пользователям ColdFusion «горячую заплатку» к бреши, грозящей серьезными проблемами для приложений, разработанных на этой платформе. Подробности данной уязвимости (CVE-2016-4264) вчера раскрыл участник интернационального движения Legal Hackers Давид Голунский (Dawid Golunski), после того как отправил в Adobe отчет вместе с PoC-эксплойтом.

По свидетельству исследователя, версии ColdFusion 10 и 11 допускают XXE-инъекцию (атаку путем использования внешних сущностей, ссылающихся на сторонние файлы, для записи спецсимволов в XML-документах), возможную при обработке некоторых типов документов формата Office Open XML. Уязвимые функции используются построенными на ColdFusion веб-приложениями для открытия документов Word, Excel, PowerPoint и прочих типов, использующих структуру XML.

«Данная уязвимость вызвана отсутствием ограничений в парсере XML, что позволяет производить обработку внешних сущностей при разборе таких документов, — пишет Голунский в информационном бюллетене. — При определенной функциональности веб-приложения и наличии возможности подать вредоносный документ, который будет обработан уязвимым ColdFusion-приложением, этой уязвимостью потенциально может воспользоваться как неискушенный, так и неаутентифицированный удаленный злоумышленник».

В случае успеха автор атаки получает возможность дистанционно читать файлы, сохраненные на ColdFusion-сервере и в сетевых папках, а также составить список системных директорий и провести атаку типа SSRF (подменой запросов на стороне сервера) или SMB Relay (перенаправлением аутентификационных данных). SSRF-атаки обычно направлены против систем, находящихся за сетевым экраном и недоступных извне. Атаки SMB Relay используют уязвимость в SMB — протоколе общего доступа к файлам и межпроцессного взаимодействия.

Голунский предупреждает, что данную брешь можно также использовать для считывания файлов конфигурации ColdFusion, таких как neo-security.xml, password.properties и neo-datasource.xml. В этих файлах хранится критически важная информация, связанная с учетными данными, в том числе соль и хэш пароля администратора ColdFusion, а также идентификаторы к базе данных. Эксплойт также позволяет получить доступ к исходному коду приложения и другим конфиденциальным системным файлам.

«Получив доступ к хэшам паролей, злоумышленник сможет их взломать с целью осуществления несанкционированного доступа к базам данных и панелям администратора ColdFusion, что повлечет полную компрометацию цели», — поясняет Голунский.

Хотфикс выпущен как для ColdFusion 10, так и для ColdFusion 11; в отличие от полноценного патча, такие «горячие заплатки» не требуют перезагрузки системы. По словам разработчика, уязвимость CVE-2016-4264 присутствует в комплектах ColdFusion 11 Update 9 и ниже, а также в ColdFusion 10 Update 20 и ниже; пользователям рекомендуется обновиться до Update 10 и Update 21 соответственно. Релиз ColdFusion 2016 данная проблема не затрагивает.

Платформа ColdFusion не раз становилась мишенью хакеров. Так, в 2013 году использование уязвимости нулевого дня в этом продукте позволило злоумышленникам скомпрометировать хостинг-провайдера Linode: в ходе атаки им удалось получить доступ к исходному коду и клиентским данным.

Категории: Аналитика, Главное, Уязвимости