.
Getty Images
Organizações grandes e pequenas estão mais uma vez lutando para corrigir vulnerabilidades críticas que já estão sob exploração ativa e causam o tipo de violação cobiçada por agentes de ransomware e espiões de estado-nação.
As vulnerabilidades exploradas — uma no Adobe ColdFusion e outra em vários produtos Citrix NetScaler — permitem a execução remota de códigos maliciosos. Na terça-feira, a Citrix corrigiu as vulnerabilidades, mas não antes que os agentes de ameaças as explorassem. A vulnerabilidade mais crítica, rastreada como CVE-2023-3519, se esconde nos produtos NetScaler ADC e NetScaler Gateway da Citrix. Ele carrega uma classificação de gravidade de 9,8 em 10 possíveis, porque permite que os hackers executem o código remotamente sem a necessidade de autenticação.
“Esta linha de produtos é um alvo popular para invasores de todos os níveis de habilidade, e esperamos que a exploração aumente rapidamente”, alertaram pesquisadores da Rapid7, empresa de segurança que detectou os ataques, na terça-feira.
Sim, colapso de fusão é possível
A situação com o Adobe ColdFusion é ainda mais complicada. De acordo com Rapid7, os hackers estão explorando uma vulnerabilidade 9.8 rastreada como CVE-2023-38203, em combinação com CVE-2023-29298, uma segunda vulnerabilidade do ColdFusion. A Adobe lançou um patch para a última vulnerabilidade em 11 de julho, mas de acordo com Rapid7, o patch estava incompleto. Isso significa que o CVE-2023-29298 – que permite que hackers acessem recursos do servidor da Web que normalmente deveriam estar fora dos limites de partes não autenticadas, ainda pode ser explorado com alterações triviais no exploit de prova de conceito já lançado. Um representante da Adobe disse que a empresa está trabalhando em uma correção completa agora.
O patch malfeito não é a única mosca que mancha gravemente a pomada de segurança da Adobe. Na quarta-feira passada – um dia após o lançamento da correção incompleta – a empresa de segurança Project Discovery divulgou outra vulnerabilidade do ColdFusion que, de acordo com os pesquisadores da empresa Rapid7, parecia acreditar que a Adobe havia corrigido alguns dias antes, mas parece ser CVE-2023-38203, mas erroneamente listada como o recém-corrigido CVE-2023-29300.
Na verdade, a Adobe não corrigiu a vulnerabilidade rotulada incorretamente, que o Project Discovery alertou que representava uma “ameaça significativa, permitindo que agentes mal-intencionados executassem código arbitrário em instalações vulneráveis do ColdFusion 2018, 2021 e 2023 sem a necessidade de autenticação prévia”. Na verdade, a empresa de segurança inadvertidamente lançou um dia zero crítico para os usuários que já enfrentavam a ameaça representada pelo patch incompleto. O Project Discovery removeu prontamente a postagem de divulgação e, dois dias depois, a Adobe corrigiu a vulnerabilidade.
Mas então, os movimentos eram tarde demais. Rapid7 disse que as duas vulnerabilidades – uma que não foi devidamente corrigida e a outra que foi divulgada por engano dois dias antes de a Adobe lançar uma correção – ainda estão sendo exploradas em servidores vulneráveis. A empresa de segurança Qualys informou ainda que, além dessas duas vulnerabilidades, os invasores também estão explorando o CVE-2023-29300, uma vulnerabilidade separada do ColdFusion corrigida pela Adobe na semana passada. Ele também carrega uma classificação de gravidade de 9,8.
Tanto a Rapid7 quanto a Qualys disseram que as vulnerabilidades do ColdFusion estão sendo exploradas para instalar webshells, que são janelas semelhantes a navegadores que permitem que as pessoas emitam comandos remotamente e executem códigos em um servidor. Nenhuma das empresas de segurança forneceu mais detalhes sobre os ataques ou as partes por trás deles.
As pessoas que tentam avaliar o dano potencial de não corrigir oportunamente as vulnerabilidades nos produtos NetScaler da Citrix ou ColdFusion da Adobe não precisam procurar além das consequências das recentes explorações em massa de vulnerabilidades críticas semelhantes em dois outros aplicativos corporativos amplamente usados. Na segunda-feira, falhas críticas no software de transferência de arquivos MOVEit levaram à violação de 357 organizações separadas, de acordo com o analista de segurança da Emsisoft, Brett Callow. As vítimas incluem várias agências governamentais. A exploração de vulnerabilidades no GoAnywhere, um aplicativo diferente de transferência de arquivos para empresas, reivindicou mais de 100 organizações. Patches para ambas as vulnerabilidades já foram amplamente instalados. As organizações que dependem do ColdFusion ou do NetScaler devem seguir o exemplo.
.
