Nel digest di questa settimana discuteremo di quanto segue:
- Centro dati e server di Atlassian Confluence Esecuzione di codice da remoto
- Esecuzione di codice remoto di Adobe ColdFusion
- Esecuzione di codice remoto da parte di OpenSSH Forwarded ssh-agent
- AMD "Zenbleed"
CVE-2023-22505 E CVE-2023-22508: Esecuzione di codice remoto del centro dati e del server di Atlassian Confluence
Sfondo
Confluence, sviluppato dalla società di software australiana Atlassian, è un wiki aziendale basato sul web, progettato per la collaborazione e la condivisione delle conoscenze all'interno delle aziende. Rilasciato inizialmente nel 2004 e realizzato in Java, Confluence si è evoluto in una piattaforma versatile che facilita il lavoro di gruppo e i processi di documentazione. Grazie al server web Tomcat e al database HSQL integrati, Confluence Standalone offre una soluzione autonoma, pur potendo ospitare diversi altri database. Atlassian offre Confluence come software aziendale, consentendo alle organizzazioni di scegliere tra l'implementazione on-premises o un Software-as-a-Service.
Vulnerabilità
In Confluence Data Center & Server sono state identificate due vulnerabilità RCE (Remote Code Execution) di elevata gravità.
La prima vulnerabilità, nota come CVE-2023-22505, è stata introdotta nella versione 8.0.0. Secondo la valutazione di Confluence, ha un punteggio CVSS di 8 e consente a un utente autenticato di eseguire codice arbitrario. Questa vulnerabilità comporta un rischio elevato per la riservatezza, l'integrità e la disponibilità, rendendola un problema critico. Inoltre, l'attaccante può sfruttare questa falla senza richiedere alcuna interazione da parte dell'utente.
La seconda vulnerabilità, contrassegnata come CVE-2023-22508, è stata introdotta nella versione 6.1.0. Con un punteggio CVSS di 8,5 secondo la valutazione di Confluence, condivide caratteristiche simili alla precedente. Un aggressore autenticato può eseguire codice arbitrario senza l'interazione dell'utente, con un elevato impatto su riservatezza, integrità e disponibilità.
Mitigazione
CVE-2023-22505:
- Aggiornare l'istanza alla versione più recente di Confluence Data Center & Server.
- Se non è possibile aggiornare alla versione più recente, aggiornare a una delle versioni fisse, in particolare la 8.3.2 o la 8.4.0.
CVE-2023-22508:
- Aggiornare l'istanza a una release di Confluence uguale o superiore alla 8.2.0 (ad esempio, 8.2, 8.2, 8.4, ecc.).
- In alternativa, eseguire l'aggiornamento a una release di Confluence 7.19 LTS bugfix uguale o superiore a 7.19.8 (ad esempio, 7.19.8, 7.19.9, 7.19.10, 7.19.11, ecc.) o a una release di Confluence 7.13 LTS bugfix uguale o superiore a 7.13.20 (release disponibile all'inizio di agosto).
CVE-2023-38205: Bypass del controllo di accesso di Adobe ColdFusion
Sfondo
Adobe ColdFusion è una versatile piattaforma di sviluppo di applicazioni web basata su Java. Consente agli sviluppatori di creare applicazioni web dinamiche e basate sui dati, integrando perfettamente la logica lato server e le interazioni con il database nelle pagine web utilizzando il ColdFusion Markup Language (CFML) in combinazione con l'HTML.
Vulnerabilità
Questa vulnerabilità, classificata come CVE-2023-38205, è un bypass della patch per la correzione di una vulnerabilità precedentemente patchata, CVE-2023-29298, affrontata nel bollettino di sicurezza di Adobe. La patch iniziale rilasciata l'11 luglio 2023 per CVE-2023-29298 non risolveva il problema e poteva essere aggirata da un utente malintenzionato. Secondo Rapid7, la correzione per la vulnerabilità era corretta nell'indirizzare un URL valido, ma poteva comunque essere aggirata fornendo un URL non valido che avrebbe comunque aggirato la correzione e consentito l'accesso all'endpoint previsto senza un percorso URL valido.
Le seguenti versioni di ColdFusion sono vulnerabili:
- Adobe ColdFusion 2023 Update 2 e versioni precedenti
- Adobe ColdFusion 2021 Update 8 e versioni precedenti
- Adobe ColdFusion 2018 Update 18 e versioni precedenti
Mitigazione
Adobe ha rilasciato una patch per mitigare questa vulnerabilità il 19 luglio 2023, in questo avviso. Le patch sono le seguenti:
- Aggiornamento 3 per ColdFusion 2023
- Aggiornamento 9 per ColdFusion 2021
- Aggiornamento 19 per ColdFusion 2018
CVE-2023-38408: Esecuzione di codice remoto nell'agente ssh inoltrato di OpenSSH
Sfondo
Lo ssh-agent inoltrato di OpenSSH è una funzionalità che consente agli utenti di inoltrare in modo sicuro il proprio ssh-agent da una macchina all'altra durante le connessioni SSH. L'agente ssh gestisce le chiavi private per l'autenticazione a chiave pubblica SSH. Grazie all'inoltro dell'agente, l'agente ssh locale dell'utente può essere utilizzato per autenticare le connessioni a macchine remote, eliminando la necessità di memorizzare le chiavi private su tali sistemi.
Vulnerabilità
Secondo l'advisory pubblicato dai ricercatori di Qualys, chiunque si colleghi a un host controllato dall'aggressore utilizzando l'inoltro dell'agente ssh può potenzialmente aprirsi all'esecuzione di codice remoto da parte dell'aggressore sulla macchina (host di base) da cui si è collegato all'host controllato dall'aggressore.
La vulnerabilità deriva dalla gestione da parte dell'agente OpenSSH delle librerie condivise inoltrate sull'host remoto. Quando l'agente ssh dell'host di base è compilato con il flag ENABLE_PKCS11, che è quello predefinito, l'host remoto può caricare (dlopen()) e scaricare immediatamente (dlclose()) qualsiasi libreria condivisa in /usr/lib/* dell'host di base. Questo comportamento, tuttavia, non funziona bene con molte librerie condivise, che possono avere effetti collaterali indesiderati. Concatenando tali effetti collaterali, i ricercatori potrebbero ottenere l'esecuzione di codice remoto sull'host di base. Tuttavia, il campo d'azione dei ricercatori è stato limitato a Ubuntu Desktop 22.04 e 21.10.
Mitigazione
- Utilizza una versione aggiornata della libreria OpenSSH: 9.3p2
- Lo sfruttamento della vulnerabilità può essere evitato evitando di utilizzare l'opzione di inoltro di ssh-agent per connettersi agli host di cui l'utente non si fida.
CVE-2023-20593: Fuga di informazioni tra processi, alias "Zenbleed".
Il 24 luglio 2023, AMD ha reso nota una vulnerabilità di sicurezza (CVE-2023-20593) che riguardava un sottoinsieme di host di cloud computing Akamai con CPU EPYC "Rome". Per ulteriori informazioni, consultare il nostro recente post su Zenbleed.
Commenti