L’agenzia per la sicurezza informatica e dell’infrastruttura degli Stati Uniti (CISA) ha aggiunto il 15 marzo una vulnerabilità di sicurezza che riguarda Adobe ColdFusion al suo catalogo di vulnerabilità note sfruttate (KEV), sulla base delle prove di attacco attivo.
In cosa consiste secondo CISA questa vulnerabilità?
La vulnerabilità critica in questione è la CVE-2023-26360 (punteggio CVSS: 8,6), che potrebbe essere sfruttata da un “aggressore” informatico (volgarmente detto “hacker”) per eseguire codice malevolo.
Alla CISA hanno detto: “CISA ha dichiarato che Adobe ColdFusion contiene una vulnerabilità di controllo di accesso improprio che consente l’esecuzione di codice a distanza“.
Le vulnerabilità interessate sono ColdFusion 2018 (Update 15 e versioni precedenti) e ColdFusion 2021 (Update 5 e versioni precedenti); fortunatamente entrambe le versioni di aggiornamento sono state risolte con un aggiornamento rilasciate rispettivamente rilasciate il 14 marzo 2023.
È importante tenere presente che la CVE-2023-26360 interessa anche le installazioni di ColdFusion 2016 e ColdFusion 11, entrambe non più supportate dalla società di software poiché hanno raggiunto la fine del loro supporto (EOL, end-of-life).
Sebbene non siano noti i dettagli esatti riguardanti la natura degli attacchi, Adobe ha dichiarato in un avviso che è a conoscenza della vulnerabilità che viene “sfruttata in modo limitato nel mondo reale“.
Le agenzie del ramo esecutivo civile federale (FCEB) sono tenute ad applicare gli aggiornamenti entro il 5 aprile 2023 per proteggere le loro reti da eventuali minacce.
Charlie Arehart, un ricercatore di sicurezza accreditato per la scoperta e la segnalazione della vulnerabilità insieme a Pete Freitag, l’ha descritta come una problematica “grave” che potrebbe comportare l'”esecuzione di codice discutibile” e la “lettura malevola del sistema di file“.
Il “vizio” di usare programmi datati
Purtroppo questo CISA non lo fa notare (non appieno), ma il mondo è pieno di persone che non aggiornano perché hanno paura che un aggiornamento vada a male (effettivamente su sistemi operativi come Windows può accadere), o perché “non si trovano”.
Mi spiace ma l’informatica non funziona così, ostinarsi ed adagiarsi sugli allori non ha mai portato a nulla di buono.
Sfortunatamente in alcuni paesi le infrastrutture sono spesso indietro, facendo danni che purtroppo sono più o meno noti.
C’è da dire però che Coldfusion è una tecnologia server, ebbene anche i server necessitano di manutenzione ed aggiornamenti.
