Trusted Design

解説:

CVE-2023-29300は、Adobe ColdFusionにおける信頼できないデータのデシリアライズの脆弱性であり、リモートからのコード実行（RCE）を可能にします。この脆弱性は、認証なしに悪用される可能性があり、深刻度が高いと評価されています。

1. 脆弱性の概要

CVE-2023-29300は、Adobe ColdFusionのWDDX (Web Distributed Data eXchange) ライブラリに存在するJavaデシリアライズの脆弱性です。この脆弱性を悪用することで、認証されていないリモートの攻撃者が任意のコードを実行できる可能性があります。攻撃者は、細工されたシリアライズデータを送信し、アプリケーションがこれを処理する際に、ColdFusionサービスの権限でコードを実行できます。この脆弱性はユーザーとのインタラクションを必要としません。

1.1 影響

この脆弱性が悪用された場合、リモートの認証されていない攻撃者が、影響を受けるシステム上で任意のコードを実行できる可能性があります。これにより、サーバーの完全な侵害、機密情報の窃取、ランサムウェアのインストール、または内部ネットワークへの侵入が可能になるリスクがあります。 実際に、CISA（米国サイバーセキュリティ・インフラセキュリティ庁）は、本脆弱性を「悪用が確認された脆弱性カタログ（KEV）」に追加しており、サイバー犯罪者や国家支援型APTグループによる活発な悪用が確認されています。 日本国内でも、この脆弱性を悪用してウェブシェルが設置される被害が複数組織で確認されています。

1.2 深刻度

CVE-2023-29300の深刻度は「Critical（緊急）」と評価されており、CVSSv3.1のベーススコアは9.8です。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性はOSバージョンに依存するものではなく、Adobe ColdFusionの以下のバージョンが影響を受けます。

• ColdFusion 2018 (アップデート16およびそれ以前のバージョン)
• ColdFusion 2021 (アップデート6およびそれ以前のバージョン)
• ColdFusion 2023 GAリリース (2023.0.0.330468およびそれ以前のバージョン)

2.2 影響を受ける設定

この脆弱性は、Adobe ColdFusionのWDDXパーサーにおける信頼できないデータのデシリアライズ処理に起因します。 具体的には、「/CFIDE/adminapi/accessmanager.cfc」のエンドポイントを介して、POSTリクエストの「argumentCollection」パラメータにペイロードが挿入される可能性があります。

3. 影響を受けた時の兆候

影響を受けた際の兆候としては、以下のようなものが挙げられます。

• ColdFusionサーバー上で疑わしいプロセス（例えば、coldfusion.exeが不審なプロセスを起動するなど）が実行されている。
• Webshellが展開されている。
• 通常とは異なるDNSクエリの発生。
• サーバーログに不審なWDDXデシリアライズ試行の記録がある。
• 組織内ネットワークへの侵入の試み、または他の組織への攻撃の踏み台（ORB: Operational Relay Box）として利用されている形跡。

4. 推奨対策

4.1 本対策

Adobe ColdFusionの脆弱性を解消するためには、アドビ社が提供する修正プログラムを適用し、以下のバージョンにアップデートすることが推奨されます。

• ColdFusion 2018 アップデート 17
• ColdFusion 2021 アップデート 7
• ColdFusion 2023 アップデート 1

アップデート適用後には、ColdFusion管理コンソールでバージョンを確認し、パッチが正常に適用されたことを確認してください。

4.2 暫定回避策（緩和策）

• ネットワークアクセス制限: 即座にパッチを適用できない場合、ColdFusionのエンドポイント、特にWDDXデータを処理するエンドポイントへのネットワークアクセスを信頼できるIPアドレスに制限することで、ネットワークレベルでの制御を実施します。
• ログ監視とセキュリティ評価: サーバーログを定期的にレビューし、不審なWDDXデシリアライズの試みや予期しないDNSクエリがないか監視します。パッチ適用前にシステムが脆弱であった場合は、徹底的なセキュリティ評価を実施し、侵害の痕跡（IoC）を特定します。
• ウェブシェルの検出と除去: 脆弱性を悪用してウェブシェルが設置された場合でも、パッチ適用後にColdFusionコンポーネントへのアクセスが維持される可能性があるため、ウェブシェル検出ツールの活用が推奨されます。

参照したサイト

• CVE-2023-29300: Adobe ColdFusion Vulnerability - TeamT5
• CVE-2023-29300: Adobe ColdFusion RCE Vulnerability - SentinelOne
• CVE-2023-29300 Detail - NVD
• CVE Record: CVE-2023-29300 - Adobe Systems Incorporated
• CVE-2023-29300.yaml - projectdiscovery/nuclei-templates - GitHub
• ColdFusion WDDX Deserialization RCE (CVE-2023-29300/CVE-2023-38203/CVE-2023-38204) - Vulnerabilities - Acunetix
• Adobe ColdFusion - Pre-Auth Remote Code Execution (CVE-2023-29300) - Vulnerability & Exploit Database - Pentest-Tools.com
• 「Adobe ColdFusion」に緊急性高い脆弱性 - 早急に更新を - Security NEXT
• Adobe ColdFusion Pre-Auth RCE(s) — ProjectDiscovery Blog
• Adobe ColdFusion Vulnerabilities Exploited in the Wild - Indusface WAS
• Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害 - ScanNetSecurity
• アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ～Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃～ | 情報セキュリティ - IPA
• Adobe ColdFusionの脆弱性が多数の攻撃の標的に | FortiGuard Labs - Fortinet
• ColdFusion脆弱性対策アップデートの適用について（APSB23-40 - コラボフローサポート
• 国内でも被害発生、「ColdFusion」の既知脆弱性狙う攻撃 - Security NEXT
• Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害 - エキサイトニュース
• CVE-2023-29300: Adobe ColdFusion 漏洞 - TeamT5
• APSB23-40 - Adobe セキュリティ速報
• 2023全球年度安全漏洞TOP 10 | FreeBuf 年度盘点
• Adobe用戶留意! ColdFusion開發平台存在RCE 漏洞已被攻擊者利用 - 資安人
• 漏洞分析｜Adobe ColdFusion 序列化漏洞（CVE-2023-29300） - 白帽汇
• Adobe ColdFusion - Remote Code Execution (CVE-2023-29300) - Vulnerability & Exploit Database.