Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/cisa-warns-of-adobe-coldfusion-bug-exploited-as-a-zero-day/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #cisa #adverte #sobre #bug #do #adobe #coldfusion #explorado #como #dia #zero
A CISA adicionou uma vulnerabilidade crÃtica que afeta as versões 2021 e 2018 do Adobe ColdFusion ao seu catálogo de bugs de segurança explorados em estado selvagem.
Essa falha crÃtica de execução de código arbitrário (CVE-2023-26360) ocorre devido a uma fraqueza do controle de acesso impróprio e pode ser abusada remotamente por invasores não autenticados em ataques de baixa complexidade que não exigem interação do usuário.
A Adobe abordou a vulnerabilidade do servidor de aplicativos no ColdFusion 2018 Update 16 e no ColdFusion 2021 Update 6 e disse que foi explorada em ataques como um dia zero.
“A Adobe está ciente de que o CVE-2023-26360 foi explorado em estado selvagem em ataques muito limitados direcionados ao Adobe ColdFusion”, disse a empresa em um comunicado de segurança divulgado nesta terça-feira.
Embora a falha também afete as instalações do ColdFusion 2016 e ColdFusion 11, a Adobe não fornece mais atualizações de segurança para versões sem suporte.
Os administradores são aconselhados a instalar as atualizações de segurança o mais rápido possÃvel (dentro de 72 horas, se possÃvel) e aplicar as configurações de segurança descritas nos guias de bloqueio do ColdFusion 2018 e ColdFusion 2021.
Atualizações de segurança marcadas como urgentes pela CISA, pesquisadores
A CISA deu a todas as agências do Poder Executivo Federal Civil dos EUA (FCEB) três semanas, até 5 de abril, para proteger seus sistemas contra possÃveis ataques usando exploits CVE-2023-26360.
Embora a diretiva operacional obrigatória de novembro de 2021 (BOD 22-01) por trás do pedido da CISA se aplique apenas a agências federais, todas as organizações são fortemente instadas a corrigir seus sistemas para impedir tentativas de exploração que possam ter como alvo suas redes.
“Esses tipos de vulnerabilidades são vetores de ataque frequentes para cibercriminosos e representam riscos significativos para a empresa federal”, disse a CISA.
Embora a Adobe também tenha publicado uma postagem de blog separada anunciando as atualizações de segurança ColdFusion 2021 e 2018 de março de 2023, ela não mencionou que as vulnerabilidades de segurança corrigidas também foram exploradas na natureza.
Charlie Arehart, um dos dois pesquisadores de segurança creditados por descobrir e relatar o bug CVE-2023-26360, alertou os administradores do ColdFusion em um comentário na postagem do blog da Adobe sobre a real importância das atualizações de segurança e a necessidade de corrigi-las com urgência.
“Esta correção de segurança é muito mais importante do que sugere o texto desta postagem do blog e até mesmo do que as notas técnicas da atualização sugeririam”, alertou Arehart.
"Para ser claro, eu vi pessoalmente as vulnerabilidades de 'execução arbitrária de código' e 'leitura arbitrária do sistema de arquivos' sendo perpetradas em vários servidores, e é grave."
Postar um comentário