Adobe ColdFusion : plusieurs vulnérabilités effectivement exploitées

Selon un billet de blog publié lundi par Rapid7, des acteurs malveillants ont effectivement exploité plusieurs vulnérabilités présente dans Adobe ColdFusion, y compris une vulnérabilité inconnue jusqu’à ce que Project Discovery la dévoile par inadvertance la semaine dernière.

Les recherches de Rapid7 concernent un certain nombre de vulnérabilités qu'Adobe a révélées le 11 juillet pour son produit ColdFusion, un serveur d'applications populaire lancé pour la première fois en 1995. Adobe a publié des mises à jour pour trois vulnérabilités : une vulnérabilité de contrôle d'accès inapproprié référencée CVE-2023-29298 (score CVSS 7.5), une vulnérabilité de désérialisation référencée CVE-2023-29300 (score CVSS 9.8) et une vulnérabilité de contournement d'authentification référencée CVE-2023-29301 (score CVSS 5.9).

Le 13 juillet, Rapid7 a observé que la vulnérabilité référencée CVE-2023-29298 était exploitée de concert avec une autre, inconnue. Cette dernière vulnérabilité, pense Rapid7, est celle référencée CVE-2023-38203. Il s’agit d’une vulnérabilité critique de désérialisation dont l’exploitation permet d'exécuter du code arbitraire (score CVSS 9.8).

La CVE-2023-38203 a été mentionnée pour la première fois par le spécialiste de la gestion de vulnérabilités Project Discovery dans un billet de blog publié le 12 juillet. Ce dernier présentait une analyse technique et un démonstrateur d'exploitation pour la CVE-2023-29300. Le billet de blog, que Project Discovery a ensuite retiré, ne citait pas la référence CVE-2023-38203. Dans un tweet, Project Discovery faisait alors référence au billet comme à des recherches sur la CVE-2023-29300.

Cependant, Caitlin Condon, responsable de la recherche sur les vulnérabilités chez Rapid7, a écrit dans un billet de Rapid7 publié lundi que les recherches de Project Discovery portent en fait sur une chaîne d'exploitation de vulnérabilités, dont celle, inédite, référencée CVE-2023-38203.

Dès lors, « il est fort probable que Project Discovery pensait publier une exploitation de vulnérabilité référencée CVE-2023-29300 dans leur article de blog du 12 juillet », écrit-elle. Adobe a corrigé cette nouvelle chaîne d'exploitation dans une mise à jour exceptionnelle le 14 juillet.

Cela s'est probablement produit, a déclaré Caitlin Condon, parce que « le correctif pour la référence CVE-2023-29300 met en œuvre une liste de refus de classes qui ne peuvent pas être désérialisées par les données Web Distributed Data eXchange (WDDX) qui font partie de certaines requêtes à ColdFusion ». Selon elle, les chercheurs de Project Discovery ont apparemment trouvé une classe non présente dans la liste de refus qui pourrait « être utilisée comme un gadget de désérialisation pour réaliser une exécution de code à distance ».

Selon Caitlin Codon, « l'équipe de Project Discovery n'a probablement pas réalisé que leur découverte était une nouvelle vulnérabilité de type "zero-day" et (nous le supposons) a retiré son billet de blog pendant qu'Adobe corrigeait la faille ». De là, « le vendredi 14 juillet, Adobe a publié un correctif hors bande pour CVE-2023-38203 – une nouvelle vulnérabilité de désérialisation. La seule chose que fait ce correctif est d'ajouter le chemin de classe !com.sun.rowset.** à la liste des noms de domaine, cassant ainsi l'exploit que Project Discovery avait publié le 12 juillet ».

Le billet de blog de Rapid7 pointe également un second problème : le fournisseur a découvert lundi que le correctif d'Adobe du 11 juillet pour la vulnérabilité référencée CVE-2023-29298 était incomplet « et qu'un exploit modifié de manière triviale fonctionne toujours contre la dernière version de ColdFusion (sortie le 14 juillet) ».

Il n'y a actuellement aucune atténuation pour ce contournement, mais comme il nécessite une seconde vulnérabilité pour fonctionner, l'application du correctif référencé CVE-2023-38203 via la mise à jour du 14 juillet devrait résoudre le problème.

Un porte-parole d'Adobe a informé à TechTarget que l'entreprise est « au courant des rapports de contournement » et qu'elle est « actuellement en train de développer une solution plus complète ».