滲透測試公司發(fā)現(xiàn)ColdFusion管理頁漏洞
英國倫敦滲透測試公司ProCheckUp在Adobe公司的ColdFusion編程語言中發(fā)現(xiàn)了一個漏洞,該漏洞使成千上萬個公司面臨著攻擊的威脅。
ProCheckUp公司的研究員通過利用在ColdFusion Administrator(ColdFusion服務(wù)器的管理項目)中發(fā)現(xiàn)的目錄遍歷(directory traversal)和文件檢索漏洞,能夠從正在運行ColdFusion的服務(wù)器上訪問文件(包括用戶名和密碼)。不需要知道管理密碼,標(biāo)準(zhǔn)的Web瀏覽器就可被用來執(zhí)行該攻擊。
ProCheckUp管理經(jīng)理Richard Brain說攻擊者能夠利用該漏洞來從服務(wù)器上竊取文件,獲得安全領(lǐng)域的訪問權(quán)限,甚至能夠修改文件內(nèi)容,或關(guān)閉網(wǎng)站或應(yīng)用程序。
據(jù)Adobe官方網(wǎng)站的報道,美國銀行、JPMorgan Chase公司、美國聯(lián)邦儲備銀行、美國參議院以及賽門鐵克和邁克菲公司都采用了ColdFusion。
Brain說他的研究顯示大概有一千萬到兩千萬個網(wǎng)站是使用ColdFusion編寫的,并配備使用ColdFusion管理頁面。Brain說,“根據(jù)我們的調(diào)查,35%到40%使用ColdFusion的公司都暴露了其管理頁面,導(dǎo)致了其他人能夠讀取文件服務(wù)器上的文件。”
ProCheckUp在今年四月向Adobe報告了該漏洞,Adobe公司在8月10日發(fā)布了補丁。Procheckup已經(jīng)發(fā)布了關(guān)于這個漏洞的安全咨文,并將在7天后發(fā)布實際的利用代碼,使管理員能夠應(yīng)用該補丁。
但Brain警告說Adobe的補丁適用于ColdFusion 8和9,大多數(shù)用戶仍然在使用ColdFusion 5、6和7,針對這幾個版本的補丁還未發(fā)布。
“這是一個很大的漏洞,如果這個漏洞被利用,這將導(dǎo)致一千萬到兩千萬個網(wǎng)站受到損害。”Brain說,“我建議使用ColdFusion 7及以下版本的用戶禁止訪問ColdFusion管理員目錄功能。這就意味著要改變Web服務(wù)器控制臺設(shè)置,以防止用戶對CFIDE的訪問。 ”
【編輯推薦】
