កាលពីថ្ងៃទី១១ ខែកក្កដា ក្រុមហ៊ុន Adobe សម្របសម្រួលជាមួយអ្នកលក់ដើម្បីជួសជុលភាពងាយរងគ្រោះ ColdFusion ជាច្រើន រួមទាំងភាពងាយរងគ្រោះដែលមានលេខកូដ CVE-2023-29298 ។ប៉ុន្តែគេរាយការណ៍ថា មានភាពងាយរងគ្រោះ ColdFusion ចំនួន ២ដែលក្រុមហេគឃ័រ កំពុងបំពានយ៉ាងសកម្មដើម្បីអនុវត្តការងារខុសច្បាប់ដូចជា ឆ្លងកាត់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ និងដំឡើង webshells នៅលើ servers ដែលងាយរងគ្រោះ។
ក្រុមអ្នកស្រាវជ្រាវ Rapid7 រកឃើញការបំពាន Adobe ColdFusion កាលពីថ្ងៃទី13 ខែកក្កដា ជាមួយនឹងតួអង្គគំរាមកំហែងដែលប្រើប្រាស់ភាពងាយរងគ្រោះដែលមានកូដ CVE-2023-29298 និងភាពងាយរងគ្រោះដែលមិនផ្សព្វផ្សាយដែលមានលេខកូដ “CVE-2023-38203”។
ខាងក្រោមនេះ យើងរៀបរាប់អំពីកំណែដែលងាយរងគ្រោះរបស់ ColdFusion ដែលរួមមានដូចជា៖
-Adobe ColdFusion 2023 Update 1
-Adobe ColdFusion 2021 Update 7 and below
-Adobe ColdFusion 2018 Update 17 and below
កំណែដែលជួសជុលរបស់កម្មវិធី ColdFusion
ខាងក្រោមនេះ យើងលើកឡើងអំពីកំណែជួសជុលទាំងអស់របស់ ColdFusion រួមមាន៖
– Adobe ColdFusion 2023 Update 2
– Adobe ColdFusion 2021 Update 8
– Adobe ColdFusion 2018 Update 18
ប៉ុន្តែកំណែដែលរៀបរាប់ខាងលើទាំងអស់ត្រូវជួសជុលប្រឆាំងនឹងភាពងាយរងគ្រោះ CVE-2023-338203។ ពួកគេនៅតែងាយរងគ្រោះសម្រាប់ CVE-2023-29298 ។ អ្នកស្រាវជ្រាវ Rapid7 បញ្ជាក់ពីសំណើ POST ជាច្រើនដើម្បីប្រើការកេងប្រវ័ញ្ចនេះនៅក្នុងកំណត់ហេតុ IIS ។ y ទាំងអស់ត្រូវបញ្ជូនទៅ “accessmanager.cfc” ។
ច្បាប់នៃការស្វែងរក
ខាងក្រោមនេះ យើងលើកឡើងពីច្បាប់រាវរកទាំងអស់មានដូចជា៖ Webshell, Attacker, Technique, Attacker Tool, Attacker Technique, PowerShell, និង Suspicious Process។លើសពីនេះ អ្នកជំនាញសន្តិសុខណែនាំដល់អ្នកប្រើប្រាស់dobe ColdFusion ទាំងអស់ឱ្យធ្វើបច្ចុប្បន្នភាពកំណែរបស់ខ្លួនភ្លាមៗនៅកាន់កំណែចុងក្រោយ និងបិទដូម៉េន oastify[.]com domain។ លើសពីនេះ សូមពិចារណាប្រើប្រាស់ហ្វាល serialfilter.txt នៅក្នុង <cfhome>/lib ដើម្បីបដិសេធ បញ្ចីកញ្ចប់ដែលមានភាពងាយរងគ្រោះ deserialization ដូចដែលណែនាំនៅក្នុងការណែនាំកាលពីថ្ងៃទី១៤ ខែកក្កដារបស់ក្រុមហ៊ុន Adobe៕
ប្រភពព័ត៌មាន gbhackers ចុះផ្សាយថ្ងៃទី១៩ ខែកក្កដា ឆ្នាំ២០២៣
