Компания Adobe пропатчила 0-day в своем продукте ColdFusion. Брешь в платформе для разработчиков позволяла злоумышленникам дистанционно запустить вредоносный скрипт на сервере. ИБ-специалистам, сообщившим о проблеме, известны случаи эксплуатации бага. Ошибке присвоен критический уровень опасности, разработчикам рекомендуется немедленно установить апдейт или следовать инструкциям по снижению угрозы.

Как сообщает вендор, брешь CVE-2019-7816 позволяет киберпреступникам загрузить исполняемый код в доступный онлайн-каталог на сервере и запустить его в контексте ColdFusion при помощи HTTP-запроса. Баг обнаружила группа ИБ-экспертов в ходе расследования обстоятельств атаки на один из веб-серверов с уязвимым продуктом Adobe. Аналитики не раскрывают технических деталей нападения, однако подчеркивают, что злоумышленник с должной квалификацией сможет повторить его, используя опубликованную вендором информацию.

Под угрозой оказались следующие версии программы:

  • ColdFusion 11 Update 18 и ранее;
  • ColdFusion 2016 Update 9 и ранее;
  • ColdFusion 2018 Update 2 и ранее.

Разработчики Adobe выпустили обновления для всех уязвимых релизов, а также рекомендовали отключить возможность выполнения HTTP-запросов в рамках директорий, предназначенных для загрузки файлов. Производитель также советует активировать функцию «Blocked file extensions for CFFile uploads» в настройках ColdFusion, чтобы на уровне приложения создать список запрещенных расширений.

Вендор не впервые латает бреши, связанные с загрузкой вредоносных файлов в ColdFusion, — в сентябре прошлого года разработчики закрыли критический баг, позволявший доставлять на сервер исполняемые JSP-объекты. Специалисты обнаружили проблему после обновления HTML-редактора, используемого платформой, и оперативно выпустили заплатку. Технические детали бага не опубликовали, но киберпреступники создали эксплойт при помощи реверс-инжиниринга и начали атаки на уязвимые хосты.

Категории: Главное, Кибероборона, Уязвимости