imágenes falsas
Las organizaciones, grandes y pequeñas, una vez más se esfuerzan por parchear las vulnerabilidades críticas que ya están bajo explotación activa y causan el tipo de infracciones codiciadas por los actores de ransomware y los espías del estado-nación.
Las vulnerabilidades explotadas, una en Adobe ColdFusion y la otra en varios productos Citrix NetScaler, permiten la ejecución remota de código malicioso. Citrix el martes parcheado las vulnerabilidades, pero no antes de los actores de amenazas los explotó. La vulnerabilidad más crítica, rastreada como CVE-2023-3519, se esconde en los productos NetScaler ADC y NetScaler Gateway de Citrix. Tiene una calificación de gravedad de 9.8 de 10 posibles porque permite a los piratas informáticos ejecutar código de forma remota sin necesidad de autenticación.
“Esta línea de productos es un objetivo popular para los atacantes de todos los niveles y esperamos que la explotación aumente rápidamente”, investigadores de Rapid7, la empresa de seguridad que detectó los ataques. advertido el martes.
Sí, fusión fusión es posible
La situación con Adobe ColdFusion es aún más tensa. Según Rapid7, los piratas informáticos están explotando una vulnerabilidad 9.8 rastreada como CVE-2023-38203, en combinación con CVE-2023-29298, una segunda vulnerabilidad de ColdFusion. Adobe emitió un parche para esta última vulnerabilidad el 11 de julio, pero de acuerdo a Rapid7, el parche estaba incompleto. Eso significa que CVE-2023-29298, que permite a los piratas informáticos acceder a los recursos del servidor web que normalmente deberían estar fuera del alcance de las partes no autenticadas, aún puede explotarse con cambios triviales en el exploit de prueba de concepto ya publicado. Un representante de Adobe dijo que la compañía está trabajando en una solución completa ahora.
El parche fallido no es la única mosca que corrompe gravemente el ungüento de seguridad de Adobe. El miércoles pasado, un día después del lanzamiento de la solución incompleta, la firma de seguridad Project Discovery revelado otra vulnerabilidad de ColdFusion que, según los investigadores de la compañía Rapid7, parecía creer que Adobe había solucionado unos días antes, pero parece ser CVE-2023-38203 pero aparece erróneamente como CVE-2023-29300 recién parcheado.
De hecho, Adobe no había parcheado la vulnerabilidad mal etiquetada, que Project Discovery advirtió que representaba una “amenaza significativa, que permitía a los actores malintencionados ejecutar código arbitrario en instalaciones vulnerables de ColdFusion 2018, 2021 y 2023 sin necesidad de autenticación previa”. En efecto, la empresa de seguridad había lanzado sin darse cuenta un día cero crítico para los usuarios que ya se enfrentaban a la amenaza que representaba el parche incompleto. Project Discovery eliminó rápidamente la publicación de divulgación y, dos días después, Adobe parcheado
Pero para entonces, los movimientos llegaron demasiado tarde. Rapid7 dijo que las dos vulnerabilidades, una que no se parchó correctamente y la otra que se reveló por error dos días antes de que Adobe publicara una solución, aún se están explotando en servidores vulnerables. Empresa de seguridad compañera Qualys más informado que además de esas dos vulnerabilidades, los atacantes también están explotando CVE-2023-29300, una vulnerabilidad separada de ColdFusion que Adobe solucionó la semana pasada. También tiene una calificación de gravedad de 9.8.
Tanto Rapid7 como Qualys dijeron que las vulnerabilidades de ColdFusion se están explotando para instalar webshells, que son ventanas similares a un navegador que permiten a las personas emitir comandos y ejecutar código de forma remota en un servidor. Ninguna compañía de seguridad proporcionó más detalles sobre los ataques o las partes detrás de ellos.
Las personas que intentan evaluar el daño potencial de no parchear oportunamente las vulnerabilidades en los productos NetScaler de Citrix o ColdFusion de Adobe no necesitan mirar más allá de las consecuencias de las recientes explotaciones masivas de vulnerabilidades críticas similares en otras dos aplicaciones empresariales ampliamente utilizadas. Hasta el lunes, las fallas críticas en el software de transferencia de archivos MOVEit habían provocado la violación de 357 organizaciones separadas, según el analista de seguridad de Emsisoft, Brett Callow. Las bajas incluyen múltiples agencias gubernamentales. La explotación de vulnerabilidades en GoAnywhere, una aplicación diferente de transferencia de archivos para empresas, se ha cobrado más de 100 organizaciones. Desde entonces, se han instalado ampliamente parches para ambas vulnerabilidades. Las organizaciones que dependen de ColdFusion o NetScaler deberían hacer lo mismo.