Adobe, 심각한 역직렬화 취약점을 패치했지만 악용은 지속됨

CISA는 활발한 악용으로 인해 CVSS 점수 9.8점으로 알려진 악용 취약점 카탈로그에 CVE-2023-26359로 분류된 취약점을 추가했습니다.

이 취약점은 Adobe ColdFusion 2018(업데이트 15 이하) 및 Adobe ColdFusion 2021(업데이트 5 이하)에 영향을 미치는 역직렬화 결함이며 임의 코드가 실행될 가능성이 있습니다.

직렬화는 JSON, XML 및 해당 직렬화된 데이터와 같이 나중에 복원할 수 있는 데이터 형식으로 개체를 변환합니다. 역직렬화는 일부 형식으로 구조화된 데이터가 개체로 다시 작성되는 이 프로세스의 반대입니다. 신뢰할 수 있는 소스의 유효성을 검사하지 않고 역직렬화가 발생하면 서비스 거부 또는 코드 실행이 발생할 수 있습니다.

중요하고 중요한 것으로 간주되며 메모리 누수로 이어질 수 있는 이러한 취약점은 3월에 패치되었습니다. 이 결함이 실제로 어떻게 악용되고 있는지는 확실하지 않지만 Adobe는 이 현상이 "매우 제한된 공격에서만" 발생한다고 밝혔습니다.

이러한 활발한 악용으로 인해 FCEB(Federal Civilian Executive Branch) 기관은 이러한 패치를 적용하고 잠재적인 위협으로부터 보호해야 하는 기한을 9월 11일로 정했습니다.

Adobe는 고객이 "ColdFusion 보안 페이지에 설명된 대로" 보안 구성 설정을 적용하고 해당 잠금 가이드를 검토할 것을 권장합니다. 또한 "ColdFusion JDK/JRE를 JDK 11용 LTS 릴리스의 최신 버전으로 업데이트"할 것을 권장합니다. 해당 JDK 업데이트 없이 ColdFusion 업데이트를 적용하면 보안 서버가 허용되지 않기 때문입니다.

Adobe는 취약성 CVE-2023-26359와 관련된 문제를 보고한 Patrick Vares의 공로를 인정합니다.