Aanvallers maken actief misbruik van twee kritieke kwetsbaarheden in Adobe Coldfusion waarvoor vorige week beveiligingsupdates verschenen. Dat meldt securitybedrijf Rapid7. Het gaat om een kwetsbaarheid aangeduid als CVE-2023-38203, waardoor remote code execution mogelijk is, en CVE-2023-29298, een kritieke 'security feature bypass'.

ColdFusion is een platform voor het ontwikkelen van webapplicaties. In het verleden zijn kwetsbaarheden in ColdFusion vaker gebruikt voor aanvallen op ColdFusion-applicatieservers. Begin dit jaar waarschuwde Adobe nog voor een actief misbruikt zerodaylek in de software. Op 11 juli kwam Adobe met een update voor CVE-2023-29298, gevolgd op 14 juli met een patch voor CVE-2023-38203. Adobe merkte toen op dat er voor de laatstgenoemde kwetsbaarheid een proof-of-concept exploit op internet stond.

Rapid7 laat weten dat de aanvallers de twee kwetsbaarheden nu combineren voor het aanvallen van kwetsbare ColdfFusion-servers. Via het beveiligingslek installeren de aanvallers een webshell, waarmee ze toegang tot de gecompromitteerde server behouden en verdere aanvallen kunnen uitvoeren.

Het securitybedrijf stelt ook dat de patch voor CVE-2023-29298 onvolledig is, waardoor de bestaande exploit met een kleine aanpassing nog steeds werkt. Aangezien bij de huidige aanvallen ook gebruik wordt gemaakt van CVE-2023-38203, zou het installeren van de laatste update bescherming tegen de waargenomen aanvallen moeten bieden.