Eine kritische Sicherheitslücke in Adobe ColdFusion wurde am 12.3.24 bekannt und ermöglicht es Angreifern auf das Dateisystem des Servers zuzugreifen. Die Lücke CVE-2024-20767, die in den ColdFusion-Versionen 2023 und 2021 bis zu den jeweiligen aktuellen Updates besteht, wurde detailliert im Sicherheitsbulletin APSB24-14 von Adobe beschrieben.
Der CVSS-Score für diese Sicherheitslücke liegt bei 8.2 (Hoch), was die Schwere und die potenziellen Auswirkungen dieser Sicherheitslücke unterstreicht:
- Attack Vector (AV): Network (N) – Die Schwachstelle kann über das Netzwerk ausgenutzt werden.
- Attack Complexity (AC): Low (L) – Die Komplexität für einen Angriff ist niedrig.
- Privileges Required (PR): None (N) – Es werden keine speziellen Berechtigungen benötigt, um die Schwachstelle auszunutzen.
- User Interaction (UI): None (N) – Keine Interaktion eines Benutzers ist notwendig, um die Schwachstelle auszunutzen.
- Scope (S): Unchanged (U) – Der Angriff bleibt innerhalb des ursprünglichen Kontextes.
- Confidentiality (C): High (H) – Es besteht ein hohes Risiko, dass Vertraulichkeit beeinträchtigt wird.
- Integrity (I): Low (L) – Geringfügige Beeinträchtigung der Integrität.
- Availability (A): None (N) – Keine Auswirkungen auf die Verfügbarkeit.
Um sich gegen die Ausnutzung dieser Schwachstelle zu schützen, empfiehlt Adobe dringend, ColdFusion auf die neuesten Versionen zu aktualisieren. Darüber hinaus sollten Administratoren den Zugriff auf das ColdFusion Tomcat-Server (8500/TCP) streng kontrollieren und sicherstellen, dass der PMSGenericServlet über /pms URI-Pfade von externen und unzuverlässigen Quellen nicht zugänglich ist.
Für ColdFusion-Administratoren, die nicht sofort patchen können, empfiehlt sich die Durchsetzung strenger Zugriffskontrollen für /CFIDE-Pfade, die Hinzufügung vertrauenswürdiger IP-Adressen in CFAdmin und die Überprüfung, wie /pms URIs geroutet und verarbeitet werden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: