Impervaは2023年4月4日(米国時間)、「CVE-2023-26360 - Adobe ColdFusion Arbitrary Code Execution|Imperva」において、Adobe ColdFusionに存在する脆弱性が積極的に悪用されていることを伝えた。この脆弱性は不適切なアクセスコントロールに分類され、悪用はユーザの操作を必要とせず、任意のコードが実行されてしまう可能性があるため注意が必要。

  • CVE-2023-26360 - Adobe ColdFusion Arbitrary Code Execution|Imperva

    CVE-2023-26360 - Adobe ColdFusion Arbitrary Code Execution|Imperva

Adobe ColdFusionのバージョン2021および2018に影響を与える脆弱性(CVE-2023-26360)が積極的に悪用されていることがImpervaの報告により判明した。この脆弱性に対する概念実証(PoC: Proof of Concept)はまだ公開されていないが、過去数日間において、同社のWebアプリケーションファイアウォール(WAF: Web Application Firewall)により、数百件の悪用の試みが行われたことが明らかとなった。

ほとんどの悪用は、Goプログラミング言語で記述された自動ハッキングツールによって実行されていたという。攻撃者がAdobe ColdFusionサーバから次のような機密ファイルを盗み出そうと試みたことも確認されている。

  • Neo-runtime.xml
  • Seed.properties
  • Password.properties

悪意のあるWebシェルをサーバにアップロードしようと試みたこともわかった。悪意のあるツールはテキストとして保存されており、サーバにアップロードされるとCFM(Cold Fusion Markup)スクリプトに変換されリモートでコードが実行される可能性があったと報告している。

該当するAdobe製品を使っている場合は、提供されているCVE情報やベンダの提供する情報を確認するとともに、速やかにアップデートを適用することが推奨される。