Le bulletin APSB19-14 de l’entreprise donne peu de détails, mais décrit le problème comme un “contournement de la restriction d’upload de fichiers” affectant la mise à jour 2 et celles antérieures de ColdFusion 2018, la mise à jour 9 de la version 2016 et celles antérieures ainsi que la mise à jour 17 et celles antérieures :
Cette attaque nécessite de pouvoir uploader du code exécutable dans un répertoire accessible depuis le web, puis de l’exécuter via une requête HTTP. Limiter les demandes faites au niveau des répertoires dans lesquels les fichiers uploadés sont stockés atténuera cette attaque.
Qui est affecté ?
Selon Charlie Arehart, blogueur accrédité par Adobe qui a signalé le problème, la mise à jour devrait cibler particulièrement les serveurs ColdFusion qui autorisent l’uploading des fichiers dans un dossier accessible depuis le web, qui ont le même code dans ColdFusion Markup Language (CFML) et qui n’ont pas interdit les fichiers avec des extensions exécutables sur le serveur.
Arehart a écrit :
Je sais aussi ce qui a été mis en œuvre spécifiquement pour permettre cette attaque, et j’ai pu me rendre compte des conséquences très négatives qui en ont résulté lorsque le serveur de l’un de mes clients a été attaqué. Vous ne voulez certainement pas que la même chose vous arrive.
Les cybercriminels développent depuis longtemps des exploits pour cette plateforme, conscients que tous les administrateurs ne sont pas en mesure de la corriger aussi rapidement qu’ils le devraient.
La mise à jour de septembre dernier, censées corriger des failles critiques, et dénommée APSB18-33 (CVE-2018-15061) en a été un bon exemple. En effet, cette dernière, du fait d’un correctif faible aurait permis de cibler un groupe APT via un exploit.
En 2014, une autre vulnérabilité a été exploitée afin de pirater des sites web appartenant au constructeur automobile Citroën.
Quoi faire ?
Identifiée par CVE-2019-7816, la solution consiste à mettre à jour ColdFusion 2018 Mise à jour 3, 2016 Mise à jour 10 ou 11 et Mise à jour 18 via la fonction d’administration de mise à jour du serveur du produit.
Adobe a récemment mis à jour ColdFusion le 12 février et devrait le refaire le 12 mars dans le cadre du Patch Tuesday, dans le cas où de nouveaux correctifs seraient en développement.
Billet inspiré de Update now! Critical Adobe ColdFusion flaw now being exploited, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.