GettyImages
تتدافع المنظمات الكبيرة والصغيرة مرة أخرى لإصلاح نقاط الضعف الحرجة التي تخضع بالفعل للاستغلال النشط وتتسبب في هذا النوع من الانتهاكات التي يطمع بها ممثلو برامج الفدية وجواسيس الدول القومية.
الثغرات الأمنية المستغلة – واحدة في Adobe ColdFusion والأخرى في العديد من منتجات Citrix NetScaler – تسمح بالتنفيذ عن بعد للتعليمات البرمجية الضارة. قامت Citrix يوم الثلاثاء بتصحيح نقاط الضعف ، ولكن ليس قبل أن يستغلها الفاعلون. تكمن أكثر نقاط الضعف خطورة ، التي تم تتبعها على أنها CVE-2023-3519 ، في منتجات Citrix’s NetScaler ADC و NetScaler Gateway. يحمل تصنيف خطورة 9.8 من أصل 10 محتمل لأنه يسمح للقراصنة بتنفيذ التعليمات البرمجية عن بُعد دون الحاجة إلى مصادقة.
حذر باحثون من Rapid7 ، شركة الأمن التي رصدت الهجمات ، يوم الثلاثاء “خط الإنتاج هذا هدف شائع للمهاجمين من جميع مستويات المهارة ، ونتوقع زيادة الاستغلال بسرعة”.
نعم ، انصهار الانصهار يكون ممكن
الوضع مع Adobe ColdFusion أكثر خطورة. وفقًا لـ Rapid7 ، يستغل المتسللون ثغرة 9.8 تم تعقبها على أنها CVE-2023-38203 ، بالإضافة إلى CVE-2023-29298 ، وهي ثغرة ثانية في ColdFusion. أصدرت Adobe تصحيحًا للثغرة الأمنية الأخيرة في 11 يوليو ، ولكن وفقًا لـ Rapid7 ، كان التصحيح غير مكتمل. وهذا يعني أنه لا يزال من الممكن استغلال CVE-2023-29298 – الذي يسمح للقراصنة بالوصول إلى موارد خادم الويب التي عادةً ما تكون محظورة على الأطراف غير المصادق عليها ، بإجراء تغييرات تافهة على استغلال إثبات المفهوم الذي تم إصداره بالفعل. قال ممثل Adobe إن الشركة تعمل على إصلاح كامل الآن.
التصحيح الفاشل ليس الذبابة الوحيدة التي تلوث بشكل سيء مرهم أمان Adobe. يوم الأربعاء الماضي – بعد يوم واحد من إصدار الإصلاح غير المكتمل – كشفت شركة الأمان Project Discovery عن ثغرة أخرى في ColdFusion والتي يبدو أن الباحثين في شركة Rapid7 يعتقدون أن Adobe قد أصلحتها قبل بضعة أيام ولكن يبدو أنها CVE-2023-38203 مدرجة عن طريق الخطأ . مثل CVE-2023-29300 المصححة للتو.
في الواقع ، لم تقم Adobe بتصحيح الثغرة الأمنية ذات التسمية الخاطئة ، والتي حذر Project Discovery من أنها تشكل “تهديدًا كبيرًا ، مما يسمح للجهات الخبيثة بتنفيذ تعليمات برمجية عشوائية على عمليات تثبيت ColdFusion 2018 و 2021 و 2023 المعرضة للخطر دون الحاجة إلى مصادقة مسبقة.” في الواقع ، أسقطت الشركة الأمنية عن غير قصد يوم الصفر المهم للمستخدمين الذين يواجهون بالفعل التهديد الذي يمثله التصحيح غير المكتمل. قام Project Discovery بإزالة منشور الكشف على الفور ، وبعد يومين ، قامت Adobe بتصحيح الثغرة الأمنية.
لكن بحلول ذلك الوقت ، كانت التحركات قد تأخرت كثيرًا. قال Rapid7 إن الثغرتين – واحدة لم يتم تصحيحها بشكل صحيح والأخرى تم الكشف عنها عن طريق الخطأ قبل يومين من إصدار Adobe للإصلاح – ما زالا يتم استغلالهما على الخوادم الضعيفة. كما أفادت زميلة شركة الأمان Qualys أنه بالإضافة إلى هاتين الثغرتين ، يستغل المهاجمون أيضًا CVE-2023-29300 ، وهي ثغرة منفصلة في ColdFusion تم إصلاحها من Adobe الأسبوع الماضي. كما أنه يحمل تصنيف شدة 9.8.
قال كل من Rapid7 و Qualys أنه يتم استغلال الثغرات الأمنية في ColdFusion لتثبيت webshells ، وهي نوافذ تشبه المتصفح تسمح للأشخاص بإصدار الأوامر عن بُعد وتنفيذ التعليمات البرمجية على الخادم. ولم تقدم أي من الشركتين الأمنيتين مزيدًا من التفاصيل حول الهجمات أو الأطراف التي تقف وراءها.
الأشخاص الذين يحاولون تقييم الضرر المحتمل من الفشل في تصحيح الثغرات الأمنية في الوقت المناسب في منتجات NetScaler من Citrix أو ColdFusion من Adobe لا يحتاجون إلى النظر إلى أبعد من تداعيات الاستغلال الجماعي الأخير لنقاط الضعف الحرجة المماثلة في اثنين من تطبيقات المؤسسات الأخرى المستخدمة على نطاق واسع. اعتبارًا من يوم الاثنين ، أدت عيوب خطيرة في برنامج نقل الملفات MOVEit إلى اختراق 357 منظمة منفصلة ، وفقًا لمحلل الأمن Emsisoft Brett Callow. وتشمل الضحايا وكالات حكومية متعددة. استحوذت عمليات استغلال الثغرات الأمنية في GoAnywhere ، وهو تطبيق مختلف لنقل الملفات للمؤسسات ، على أكثر من 100 مؤسسة. ومنذ ذلك الحين تم تثبيت تصحيحات لكلا الثغرات الأمنية على نطاق واسع. يجب على المنظمات التي تعتمد على ColdFusion أو NetScaler أن تحذو حذوها.
