Les défauts permettent aux attaquants d’utiliser une surveillance de sérialisation pour compromettre les systèmes pour l’exécution du code distant.
La CISA avertit les clients d’Adobe et d’Oracle sur l’exploitation dans la fenêtre des vulnérabilités critiques affectant les services de ces principaux fournisseurs de logiciels d’entreprise.
Le chien de garde américain de la cybersécurité a ajouté des vulnérabilités dans Adobe Coldfusion (CVE-2017-3066) et Oracle Agile Product Lifecycle Management (PLM) (CVE-2024-20953) à son catalogue connu des vulnérabilités exploitées (KEV) lundi.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré CISA dans l’avis.
Les démons de désérialisation hantent toujours le développement Web d’Adobe
La faille Adobe Coldfusion signalée par CISA est un ancien bug de désérialisation Java dans la bibliothèque Apache Blazeds, qui a reçu une cote de gravité critique de CVSS 9.8 sur 10 car elle permet l’exécution de code arbitraire.
Adobe a révélé CVE-2017-3066 CVE-3066 en avril 2017 avec Hotfixes pour toutes les versions affectées, y compris la mise à jour Adobe Coldfusion 2016 et plus tôt, Coldfusion 11 Update 11 et plus tôt, Coldfusion 10 Update 22 et plus tôt.
« Ces hotfix incluent une version mise à jour de la bibliothèque Apache Blazeds pour atténuer la vulnérabilité de désérialisation Java », a déclaré Adobe dans un avis à l’époque.
Dans un article de blog 2018, Code White Researchers a détaillé les vulnérabilités dans Adobe Coldfusion (versions 11 et 12), en se concentrant sur les problèmes de désérialisation au format de message d’action (AMF) utilisé par Coldfusion pour l’échange de données. Avant le CVE-2017-3066, ils avaient découvert, Coldfusion manquait de liste blanche de classe, permettant aux attaquants d’exploiter Java.io.Externalisable pour l’exécution du code distant.
La CISA n’a pas divulgué de détails spécifiques de l’exploitation pour des raisons de sécurité, ce qui nous faisait avancer toutes les organisations pour corriger rapidement les systèmes vulnérables contre les menaces potentielles.
Oracle Agile PLM Flaw ouvert aux jours n-
L’autre vulnérabilité, fixée en janvier 2024, est un défaut à haute gravité (CVSS 8.8 / 10) dans le composant d’exportation du logiciel PLM de l’Oracle, et découle de la manipulation incorrecte des données sérialisées. Il est suivi comme CVE-2024-20953. Une exploitation réussie pourrait permettre à un attaquant peu privilégié avec un accès au réseau via HTTP pour exécuter des codes arbitraires, permettant potentiellement la prise de contrôle complète du système.
La faille affecte Oracle Agile PLM version 9.3.6 et a reçu un correctif d’Oracle dans une mise à jour de patch critique de janvier 2024. Bien que les correctifs immédiats aient été fortement recommandés pour une protection complète, une solution de contournement était également disponible pour un soulagement plus rapide.
« Jusqu’à ce que vous appliquiez les correctifs de mise à jour des correctifs critiques, il peut être possible de réduire le risque d’attaque réussie en bloquant les protocoles de réseau requis par une attaque », a déclaré Oracle dans un avis. «Pour les attaques qui nécessitent certains privilèges ou l’accès à certains packages, la suppression des privilèges ou la possibilité d’accéder aux packages des utilisateurs qui n’ont pas besoin des privilèges peuvent aider à réduire le risque d’attaque réussie.»
La mise à jour de CISA met en évidence l’importance de corriger rapidement les vulnérabilités de désérialisation critiques qui peuvent permettre une prise de contrôle complète du système.
Dans un autre exemple d’offre de conseils évidents qui ne sont néanmoins pas toujours suivis, l’agence fédérale a récemment décrit des défauts de débordement de tampon dans le code comme «impardonnables» pour leur criticité et le fait que la plupart d’entre eux peuvent être évités à travers la pratique simple de passer à la mémoire sûre en toute sécurité en toute sécurité langues.
Les réseaux fédéraux de la Direction de l’exécutif civil (FCEB), les réseaux gouvernementaux fédéraux non militaires gérés par des agences civiles aux États-Unis, ont été invités à corriger rapidement les dernières vulnérabilités conformément à la directive BOD 22-01.
