Adobe ColdFusion’dagi nol kunlik zaiflikni tuzatdi.
Zaiflik kodni masofadan turib bajarishga imkon beradi va allaqachon tajovuzkorlar tomonidan foydalanilmoqda.
1-mart, juma kuni Adobe o’zining ColdFusion veb-ilovalarini ishlab chiqish platformasidagi muhim zaiflik uchun favqulodda yamoqni chiqardi. Ushbu zaiflik kodni masofadan turib bajarish imkonini beradi va allaqachon tajovuzkorlar tomonidan foydalanilmoqda. Muammo ColdFusionning eng so’nggi yamoqni o’rnatmagan barcha versiyalariga ta’sir qiladi – ColdFusion 2018 (2 va undan oldingi versiyalar), 2016 (9 va undan oldingi versiyalar) va ColdFusion 11 (17 va undan oldingi versiyalar). Zaiflikdan (CVE-2019-7816) foydalanib, tajovuzkor fayllarni yuklash cheklovlarini chetlab o’tishi mumkin. Biroq, hujumni amalga oshirish uchun ular serverdagi fayl katalogiga bajariladigan kodni yuklash imkoniyatiga ega bo’lishlari kerak. Keyin bu kod HTTP so’rovi orqali bajariladi.
Muammo mustaqil xavfsizlik tadqiqotchisi Charli Arehart tomonidan undan foydalanishga urinish paytida aniqlandi. Mijozlaridan biriga hujum uyushtirilganini aniqlagandan so’ng, Arehart darhol Adobe bilan bog’lanib, yechim taklif qildi. Ishlab chiqaruvchi zaiflik aniqlanganidan keyin bir necha kun ichida yamoq chiqardi.
Kelajakda shunga o’xshash hujumlarning oldini olish uchun tadqiqotchi hujumchilarning usulini oshkor qilmayapti. Arehart foydalanuvchilarga yangilanishlarni o’rnatish uchun vaqt berish juda muhim deb hisoblaydi. Biroq, tadqiqotchi Adobe xavfsizlik byulletenini o’qib bo’lgach, mohir xaker ikkitasini birlashtirib, zaiflikdan foydalanish yo’lini topishiga ishonadi.
