Adobe lança atualização out of band para corrigir vulnerabilidade zero day do ColdFusion

A Adobe lançou ontem uma atualização de emergência out of band para sua plataforma de desenvolvimento do ColdFusion que corrige uma vulnerabilidade zero day que estava sendo explorada.

Em seu boletim de segurança enviado ontem, a Adobe descreveu a vulnerabilidade como um “desvio de restrição de upload de arquivo” e atribuiu uma classificação “crítica”.

“Esse ataque exige a capacidade de fazer upload de código executável para um diretório acessível pela web e depois executar esse código por meio de uma solicitação HTTP. Restringir solicitações a diretórios onde os arquivos enviados são armazenados mitigará esse ataque”, disse a Adobe.

O zero day, rastreado como CVE-2019-7816, impacta as três versões atuais da plataforma ColdFusion que ainda são mantidas – ColdFusion 11, 2016 e 2018.

A Adobe lançou as versões ColdFusion 11 Update 18, ColdFusion 2016 Update 10 e ColdFusion 2018 Update 3 para corrigir o bug. A empresa disse que todas as versões anteriores são vulneráveis ​​a esse ataque.

O dia de correção usual do criador do software este mês teria sido no dia 12 de março, no mesmo dia do Patch Tuesday da Microsoft.

A Adobe pagou cinco pesquisadores por encontrarem o zero day – Charlie Ishart, Moshe Ruzin, Josh Ford, Jason Solarek e Bridge Catalog Team. Todos são desenvolvedores e especialistas em suporte do ColdFusion, e não pesquisadores de segurança, o tipo de pessoas que geralmente descobrem e relatam a exploração ativa do dia-zero.

Em novembro, um grupo de espionagem cibernética chinesa, explorou uma vulnerabilidade semelhante de upload de arquivos do ColdFusion para assumir servidores vulneráveis ​​nos quais os proprietários não aplicaram as atualizações de segurança de setembro de 2018 da Adobe.

A Adobe não revelou como o zero day de hoje foi explorado na natureza.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.