Vulnerabilidad crítica en Adobe ColdFusion está siendo explotada ¡Parchar de inmediato!

Adobe emitió un parche #urgente para una falla crítica en la plataforma de desarrollo web ColdFusion que está siendo explotada en la internet ¡Parchar debiera ser la prioridad número 1 de los administradores!

El boletín APSB19-14 de Adobe describe el problema como un “bypass a la restricción de subida de archivos» que afecta a ColdFusion 2018, 2016 y 17 y anteriores y lo clasifica como una vulnerabilidad crítica de prioridad 1.

Este ataque requiere la capacidad de cargar código ejecutable en un directorio accesible por web y luego ejecutar ese código a través de una solicitud HTTP. La restricción de las solicitudes a los directorios donde se almacenan los archivos cargados mitigará este ataque.

“También sé lo que se hizo específicamente para perpetrar el ataque, y las consecuencias muy negativas de lo que sucedió una vez que el servidor de un cliente mío fue atacado. No quieres que esto te pase” dijo Charlie Arehart.

¿Quién está afectado?

Según Charlie Arehart, quien informó a Adobe del problema y sugirió la solución que está siendo implementada, la actualización debe ser una preocupación prioritaria quienes manejen servidores de ColdFusion que permitan la carga de archivos a una carpeta accesible a la web, tengan cualquier código que haga lo mismo en ColdFusion Markup Language (CFML), y quienes no han deshabilitado los archivos con extensiones ejecutables por el servidor.

Las condiciones que permitirían el exploit son:

– si tienes código que permita la carga de archivos en CFML, como sucede al usar la etiqueta CFFILE con un ACTION =»upload» (o «uploadall», o si usa las los script statements FileUpload o FileUploadAll) como parte de un proceso para recibir archivos subidos

– y si permites que se guarden los archivos cargados en una carpeta accesible desde la web (siempre hay algo que temer)

– y si no ha protegido esas cargas chequeando que la extensión del archivo no sea una extensión de archivo ejecutable por el servidor (como .cfm, .cfml, .cfc, .aspx y otros)

– e incluso si hubieses agregado un atributo/argumento ACEPTAR que solo permita ciertos mime-types (y confías en el valor predeterminado de STRICT=true de CF para dichas cargas)

– y especialmente si es posible que hayas agregado una lista de extensiones de archivo en la white list o lista blanca en el atributo/argumento ACEPTAR, esperando que esto bloquee las cargas de todo lo que no sean esas extensiones y/o mime-types (sin darse cuenta de que las extensiones se ignoraron si Strict estaba configurado o por defecto a true))

entonces es posible subir un archivo que pueda ser mime-type y que se VEA como éste (que pasa la prueba «estricta» de mime-type) y que, aun así, TIENE un ejecutable de servidor extensión de archivo. 

¿Qué hacer?

Los ciberdelincuentes tienen un historial de desarrollo de exploits para la plataforma ColdFusion, conscientes de que tal vez no todos los administradores parchan tan rápido como deberían. 

Es por esto que se destaca que desde ya está disponible el update en la página “server updates” del CF Admin.

La vulnerabilidad identificada como CVE-2019-7816, se corrige actualizando, esto es, instalando el parche correspondiente a tu versión de ColdFusion. Si ocupas:

– ColdFusion 2018, instala el Update 3
– ColdFusion 2016, instala el Update 10
– ColdFusion 11, Instala el Update 18

Adobe actualizó ColdFusion el 12 de febrero y debería volver a hacerlo el 12 de marzo como parte del “Patch Tuesday” si surge alguna solución nueva.