A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade de alta gravidade no Adobe ColdFusion por atores de ameaças não identificados. Essa exploração visa obter acesso inicial a servidores governamentais.
A vulnerabilidade, identificada como CVE-2023-26360, é descrita como um problema de controle de acesso inadequado no ColdFusion, e sua exploração pode resultar em execução arbitrária de código.
A falha afeta o ColdFusion 2018 (Update 15 e versões anteriores) e o ColdFusion 2021 (Update 5 e versões anteriores), tendo sido corrigida nas versões Update 16 e Update 6, lançadas em 14 de março de 2023. A CISA adicionou a vulnerabilidade ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) um dia após a correção, citando evidências de exploração ativa.
A Adobe, em um aviso divulgado na mesma época, confirmou estar ciente da falha sendo “explorada ativamente em ataques muito limitados”. A agência observou que pelo menos dois servidores públicos foram comprometidos usando a falha, ambos executando versões desatualizadas do software.
Os atores de ameaças iniciaram vários comandos nos servidores web comprometidos, permitindo-lhes implantar malware usando comandos HTTP POST no caminho do diretório associado ao ColdFusion. Há evidências sugerindo que a atividade maliciosa é um esforço de reconhecimento realizado para mapear a rede mais ampla, embora não tenha sido observado movimento lateral ou exfiltração de dados.
Em um dos incidentes, o adversário foi observado navegando pelo sistema de arquivos e carregando vários artefatos no servidor web, incluindo binários capazes de exportar cookies do navegador da web e malware projetado para descriptografar senhas para fontes de dados do ColdFusion.