A Adobe anunciou atualizações de segurança emergenciais para corrigir uma grave vulnerabilidade no ColdFusion, rastreada como CVE-2024-53961. A falha, causada por um problema de travessia de diretório, afeta as versões 2021 e 2023 do software e possibilita que invasores acessem arquivos em servidores vulneráveis.
De acordo com o comunicado oficial divulgado na segunda-feira, a falha tem um código de exploração conhecido (prova de conceito ou PoC) que pode ser utilizado para realizar ataques. A Adobe classificou o problema como “Prioridade 1”, alertando que há alto risco de exploração ativa.
Atualizações de segurança
Para mitigar os riscos, a Adobe lançou as atualizações ColdFusion 2021 Update 18 e ColdFusion 2023 Update 12. A empresa recomenda que os administradores instalem os patches imediatamente, preferencialmente dentro de 72 horas, e sigam as práticas de segurança detalhadas nos guias de bloqueio das versões afetadas.
Além disso, a Adobe atualizou sua documentação sobre o filtro serial para ajudar os clientes a evitar ataques baseados em desserialização insegura no Wddx.
Histórico de Explorações
Embora a Adobe não tenha confirmado explorações ativas dessa vulnerabilidade, a falha chama atenção pelo potencial de causar danos significativos. Vulnerabilidades de travessia de diretório são conhecidas como “imperdoáveis” desde 2007, mas continuam a surgir em sistemas modernos.
Segundo a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA), essas falhas permitem que invasores acessem dados sensíveis, como credenciais, que podem ser usadas para comprometer contas e sistemas. Em maio de 2024, a agência alertou desenvolvedores para eliminar essas falhas antes do lançamento de novos produtos.
Casos Anteriores
Em 2023, a CISA destacou várias falhas críticas no ColdFusion. Em julho, a agência ordenou que organizações federais atualizassem servidores afetados por vulnerabilidades (CVE-2023-29298 e CVE-2023-38205) até 10 de agosto. Uma dessas falhas foi usada em ataques de dia zero.
Outro exemplo relevante foi a exploração da CVE-2023-26360, que hackers usaram para invadir servidores governamentais desde março de 2023. Isso reforça a importância de manter sistemas atualizados e seguros contra vulnerabilidades críticas.
Conclusão
A Adobe reforça que medidas rápidas são cruciais para evitar potenciais ataques envolvendo o ColdFusion. Administradores devem agir imediatamente para instalar os patches e seguir as melhores práticas de segurança.