Rapid7は2023年7月17日(米国時間)、「Active Exploitation of Multiple Adobe ColdFusion Vulnerabilities|Rapid7 Blog」において、Adobe ColdFusionの複数の脆弱性を悪用した攻撃を確認したと報告した。
影響を受ける製品は以下のとおり。
- Adobe ColdFusion 2023 Update 1
- Adobe ColdFusion 2021 Update 7およびこれより前のバージョン
- Adobe ColdFusion 2018 Update 17およびこれより前のバージョン
Rapid7によると確認されたサイバー攻撃は、ColdFusionのアクセス制御を迂回する脆弱性(CVE-2023-29298)と、リモートから任意のコマンドを実行できる脆弱性(CVE-2023-38203)を併用したものとされている。Adobeはこの件より前にリモートから任意のコマンドを実行できる脆弱性(CVE-2023-29300)の修正を7月11日に公開したが、その対策は不十分なものであり、別途CVE-2023-38203の対策として7月14日に修正版が公開されている。
Rapid7はColdFusionのアクセス制御を迂回する脆弱性(CVE-2023-29298)に対する修正に関して、不完全なものであると指摘。しかしながら、今回確認されている攻撃は2つの脆弱性を組み合わせたものであり、ColdFusionを最新版に更新することで攻撃を防げるだろうと説明している。