CISA

CISA emette un avviso urgente: vulnerabilità di Adobe ColdFusion

CISA, l'agenzia per la sicurezza informatica statunitense mette in guardia su un difetto di Adobe ColdFusion e spiega come non avere problemi

L’agenzia per la sicurezza informatica e dell’infrastruttura degli Stati Uniti (CISA) ha aggiunto il 15 marzo una vulnerabilità di sicurezza che riguarda Adobe ColdFusion al suo catalogo di vulnerabilità note sfruttate (KEV), sulla base delle prove di attacco attivo.

In cosa consiste secondo CISA questa vulnerabilità?

La vulnerabilità critica in questione è la CVE-2023-26360 (punteggio CVSS: 8,6), che potrebbe essere sfruttata da un “aggressore” informatico (volgarmente detto “hacker”) per eseguire codice malevolo.

CISA

Alla CISA hanno detto: “CISA ha dichiarato che Adobe ColdFusion contiene una vulnerabilità di controllo di accesso improprio che consente l’esecuzione di codice a distanza“.

Le vulnerabilità interessate sono ColdFusion 2018 (Update 15 e versioni precedenti) e ColdFusion 2021 (Update 5 e versioni precedenti); fortunatamente entrambe le versioni di aggiornamento sono state risolte con un aggiornamento rilasciate rispettivamente rilasciate il 14 marzo 2023.

È importante tenere presente che la CVE-2023-26360 interessa anche le installazioni di ColdFusion 2016 e ColdFusion 11, entrambe non più supportate dalla società di software poiché hanno raggiunto la fine del loro supporto (EOL, end-of-life).

Sebbene non siano noti i dettagli esatti riguardanti la natura degli attacchi, Adobe ha dichiarato in un avviso che è a conoscenza della vulnerabilità che viene “sfruttata in modo limitato nel mondo reale“.

Le agenzie del ramo esecutivo civile federale (FCEB) sono tenute ad applicare gli aggiornamenti entro il 5 aprile 2023 per proteggere le loro reti da eventuali minacce.

Charlie Arehart, un ricercatore di sicurezza accreditato per la scoperta e la segnalazione della vulnerabilità insieme a Pete Freitag, l’ha descritta come una problematica “grave” che potrebbe comportare l'”esecuzione di codice discutibile” e la “lettura malevola del sistema di file“.

Il “vizio” di usare programmi datati

Purtroppo questo CISA non lo fa notare (non appieno), ma il mondo è pieno di persone che non aggiornano perché hanno paura che un aggiornamento vada a male (effettivamente su sistemi operativi come Windows può accadere), o perché “non si trovano”.

Mi spiace ma l’informatica non funziona così, ostinarsi ed adagiarsi sugli allori non ha mai portato a nulla di buono.

Sfortunatamente in alcuni paesi le infrastrutture sono spesso indietro, facendo danni che purtroppo sono più o meno noti.

C’è da dire però che Coldfusion è una tecnologia server, ebbene anche i server necessitano di manutenzione ed aggiornamenti.

Avevi idea di cosa fosse Adobe ColdFusion o non l’hai mai usato?

Se l’hai usato e lo usi per qualche server, concordi con gli avvertimenti CISA e magari sei pure un sistemista che si sta dando da fare per “rimediare”?

Scrivi sui commenti che ne pensi.

Sottoscrivi
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti
0
in iCrewPlay diamo spazio al tuo pensiero! Commenta!x
()
x
Condividi su facebook
CONDIVIDI