【威胁预警】Adobe ColdFusion 存在反序列化漏洞(CVE-2017-11283, CVE-2017-11238)

2017-10-18 05:33:54 启明星辰 ADLab

更多资讯和分析文章请关注启明星辰ADLab公众号及官方网站(adlab.venustech.com.cn)


漏洞描述

 Adobe ColdFusion是一个动态Web服务器,其CFML是一种程序设计语言,类似现在的JSP里的JSTL。

在开启“Remote Adobe LiveCycle Data Management access”的情况下,Adobe ColdFusion存在反序列化漏洞,在成功利用后可导致敏感信息泄露及远程代码执行漏洞。


漏洞验证

Adobe ColdFusion在开启“Remote Adobe LiveCycle Data Management access”功能的条件下会开启rmi registery服务。会在本地监听1099端口。如下图所示:

可通过RMI协议向Adobe ColdFusion 服务端发送精心构造的反序列化代码来触发漏洞。

启明星辰ADLab在第一时间对Adobe ColdFusion反序列化漏洞进行了跟踪,并成功复现了该漏洞。


比较有意思的是通过一个POC就能触发两个漏洞,从上图可看到成功弹出了计算器说明已经远程代码执行成功,并且返回数据包中泄漏ColdFusion路径以及jar包等敏感数据。


受影响版本

ColdFusion 11 Update 12及之前版本、2016.0 Update 4及之前版本。


规避方案

  • 关闭“Remote Adobe LiveCycle DataManagement access”服务并检查1099端口是否开放,如果开放则存在安全隐患。

  • 升级最新补丁ColdFusion (2016 release) Update 5,ColdFusion 11 Update13。

 


参考链接:

https://nickbloor.co.uk/2017/10/13/adobe-coldfusion-deserialization-rce-cve-2017-11283-cve-2017-11238/

https://helpx.adobe.com/security/products/coldfusion/apsb17-30.html