Ciblé par de nombreuses cyberattaques, Adobe ColdFusion bénéficie d’un nouveau patch de sécurité
Ces derniers jours, Adobe a mis en ligne plusieurs mises à jour de sécurité pour son produit Adobe ColdFusion afin de patcher plusieurs failles de sécurité critiques ! Certaines sont même exploitées dans le cadre d'attaques. Faisons le point.
Lancée en 1995, Adobe ColdFusion est une solution pour la création et le déploiement d'applications mobiles et web.
Du côté d'Adobe ColdFusion, la situation est compliquée depuis une bonne semaine : les bulletins de sécurité s'enchaînent, la liste de CVE ne cesse de s'allonger, de nouvelles mises à jour correctives sont publiées, et pendant ce temps, les pirates s'amusent à exploiter les failles de sécurité. Avant tout, voici la liste des bulletins de sécurité auxquels vous devez vous référer :
- Bulletin Adobe ColdFusion du 11 juillet 2023
- Bulletin Adobe ColdFusion du 14 juillet 2023
- Bulletin Adobe ColdFusion du 19 juillet 2023
Le dernier bulletin de sécurité, mis en ligne il y a quelques heures, fait référence à trois nouvelles vulnérabilités : CVE-2023-38204, CVE-2023-38205 et CVE-2023-38206. Tout en sachant qu'Adobe précise que la CVE-2023-38205, qui ne semble pas être la plus critique du lot, est exploitée : "Adobe sait que CVE-2023-38205 a été exploité dans la nature dans le cadre d'attaques limitées visant Adobe ColdFusion."
En fait, la vulnérabilité CVE-2023-38205 est liée à la faille de sécurité CVE-2023-29298, corrigée le 11 juillet dernier et qui permet à un attaquant d'outrepasser le processus d'authentification. Utilisée dans une chaine d'exploitation pour compromettre des serveurs ColdFusion, cette vulnérabilité a été corrigée en urgence par Adobe.
Toutefois, en début de semaine, les chercheurs de Rapid7 ont détecté un nouvel exploit permettant de contourner le correctif d'Adobe. C'est pour cette raison qu'il y a eu un nouveau correctif mis en ligne, associé à une nouvelle référence CVE : CVE-2023-38205. Voici ce que précise l'article de Rapid7 : "Les chercheurs de Rapid7 ont déterminé le lundi 17 juillet que le correctif fourni par Adobe pour la CVE-2023-29298 le 11 juillet est incomplet, et qu'un exploit trivialement modifié fonctionne toujours contre la dernière version de ColdFusion (publiée le 14 juillet)."
Pour vous protéger totalement contre l'ensemble des vulnérabilités qu'Adobe vient de patcher, vous devez utiliser l'une de ces versions :
- ColdFusion 2023 Update 2
- ColdFusion 2021 Update 8
- ColdFusion 2018 Update 18
En bref : des attaques sont en cours et l'exploitation de ces failles de sécurité permet de compromettre les serveurs Adobe ColdFusion. Si vous utilisez cette solution, nous vous encourageons à installer le patch dès que possible.