ColdFusionのCVE-2023-26360
ColdFusionは、Webアプリケーションサーバーと呼ばれる種類のソフトウェアで、Webサーバーと連携し、その機能を拡張できます。
データベースと連携するものを作るために使われたり、WebコンテンツにJavaで構築したビジネスロジックを組み込むように使われることもあります。
多くのシステムで利用されている仕組みです。
ColdFusionは、ずっと以前から利用されているものですので、その長い期間の中で多くの機能拡張が実施されてきています。
そういうものですので、脆弱性もこれまで多く発見され、解消したものが提供されてきています。
そんな多くの脆弱性の中に、CVE-2023-26360があります。
この脆弱性により、Adobe ColdFusion 2018 Update 15以前および 2021 Update 5以前を実行しているサーバー上で任意のコードが実行される可能性があります。
この問題は、Adobeが3月中旬にColdFusion 2018 Update 16 および 2021 Update 6をリリースして修正する前のゼロデイとして悪用されました。
こういったことが当時確認されたため、いろいろな組織から警告が出されました。
CISAからも「CISA Adds One Known Exploited Vulnerability to Catalog」として警告されました。
このなかで、CISAは、すべての米国連邦文民行政府機関 (FCEB) 機関に対し、CVE-2023-26360エクスプロイトを使用した潜在的な攻撃からシステムを保護するために更新することを促しました。
この警告が強制力を持つのは一部の範囲の組織にとどまりますが、脅威の重大性から考えると可能な限り適用すべき修正であることは推測が難しくありませんでした。
それから半年以上が経過したわけですが、2つの連邦政府機関のシステムにおいて、侵害事例が確認されました。
侵害に悪用された脆弱性はCVE-2023-26360でした。
警告がなされてから長い時間があったわけですが、これらの組織では脆弱なままの古いシステムが使われ続けていたのです。
CISAによると、1つ目の侵害では、攻撃者はこの脆弱性を悪用し、HTTP POSTコマンドを使用してColdFusionに関連付けられたディレクトリにマルウェアを投下しました。
そして、ColdFusion構成ファイルにコードを挿入して資格情報を抽出できるWeb シェル(config.jsp)をインストールしました。
2つ目の侵害では、攻撃者はアカウント情報を収集した後、リモートアクセストロイ(d.jsp)としてデコードされたテキストファイルを投下しました。
そして、レジストリファイルとセキュリティアカウントマネージャー(SAM)情報を盗み出しを狙い、SYSVOLにアクセスを試みました。
これらの確認されている2つの侵害では、侵害された環境に設置されていたセキュリティ機構の動作によって、データを漏洩したり横方向に移動したりする前に攻撃が検出されてブロックされました。
そして、侵害された機器は24 時間以内に重要なネットワークから切り離されました。
適用できる修正パッチはタイムリーに適用したいものです。
また、こういった事例を見ると、ネットワークのセグメンテーションといったような機構も有効なのだと感じます。
そういったものにお世話になること自体が発生しなければよいのですが、あると助かることがあるということですね。
参考記事(外部リンク):Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for
Initial Access to Government Servers
www.cisa.gov/news-events/cybersecurity-advisories/aa23-339a参考記事(外部リンク):CISA Adds One Known Exploited Vulnerability to Catalog
www.cisa.gov/news-events/alerts/2023/03/15/cisa-adds-one-known-exploited-vulnerability-catalog
