ColdFusion 滿分漏洞兩個鐘見攻擊:舊 web app 唔 patch 就係入口
Tech News

ColdFusion 滿分漏洞兩個鐘見攻擊:舊 web app 唔 patch 就係入口

圖片:via iThome — https://www.ithome.com.tw/news/177132
TechLab 編輯部(譯)·

Adobe 6 月底補咗 7 個滿分洞,外網 ColdFusion 要即刻查版本

兩個鐘,夠晒說明問題

iThome 報道,Adobe 6 月 30 日公開 ColdFusion 同 Campaign Classic 一批高危修補,入面 ColdFusion APSB26-68 已經有 6 個 CVSS 10.0 漏洞。麻煩位唔只係分數夠嚇人;CVE-2026-48282 呢個 path traversal 洞,KEVIntel 指公開技術細節出街後唔夠兩個鐘,佢哋蜜罐已見到嘗試利用。KEVIntel 自己頁面亦標示,第一筆 sensor 記錄係 2026 年 7 月 2 日 16:52 UTC。加拿大 Cyber Centre 同日提醒,開源情報顯示有人利用緊呢個 CVE,admin 唔應該當成普通月度 patch。要留意,Adobe 發公告嗰刻仍寫未掌握 in-the-wild exploit;幾日內外部情報已見到攻擊,呢個時間差好容易令 admin 食虧。

Adobe Security Blog 用嚟講 AI 加速漏洞發現嘅插圖

圖片:Adobe Security Blog

版本同 CVE 先對清楚

Adobe 官方 APSB26-68 寫得好清楚:ColdFusion 2025 Update 9 或之前、ColdFusion 2023 Update 20 或之前都受影響;修補版係 2025 Update 10 同 2023 Update 21。呢批洞涵蓋任意代碼執行、提權、任意檔案系統讀取同安全限制繞過,CVE-2026-48282 本身係 CVSS 10.0,網上可打、低複雜度、唔使登入、唔使有人互動。換句話講,只要 ColdFusion 管理面、CFIDE 或相關 endpoint 曾經放咗出去,就唔好當成小修小補。

同日 APSB26-69 又補 Adobe Campaign Classic ACC v7: 7.4.3 build 9396 或之前嘅 CVE-2026-48286,同樣係 CVSS 10.0;不過 Adobe 寫明受影響係 on-premise 同 hybrid 入面嘅 on-premise components,Adobe-hosted instances 已經補好。做 marketing platform 嘅 admin 要睇,但今次攻擊聲響集中喺 ColdFusion,優先次序唔好擺錯。

舊 web app 最怕冇人認頭

ColdFusion 算係老牌 stack,但呢啲舊 Java web app 往往黐住 CRM、表格、校內系統、會員資料庫、舊 payment flow。真正麻煩位落喺資產盤點:好多公司連自己仲有冇跑 ColdFusion 都答唔實。BleepingComputer 引用 Shadowserver 指,網上仍見到接近 800 個 ColdFusion instance;呢個數唔等於全部有洞,亦可能混有蜜罐同已補好嘅機,但足夠提醒 IT:舊系統冇上新聞,唔代表冇人掃。

暫時冇可靠公開掃描數字可以估香港 exposure,講成全港危機就過火。不過香港中小企、學校、NGO 同政府外判項目,確實有機會留低十幾年前起嘅 CFML / Java app;風險同其他地方一樣,server 掛喺外面,內部冇人認頭,供應商合約又過晒保養,最後就變成「明知舊,但冇人敢郁」。

今日應該點查

公司 IT 今日可以先做四件事。第一,查 ColdFusion 版本,唔好淨係問供應商,要入 server 或 inventory 對 2025 Update 10 / 2023 Update 21。第二,搵清楚 CFIDE、ColdFusion Administrator、內置 Tomcat 8500、RDS 有冇對外;watchTowr 拆補丁後指出,有風險面涉及 RDS/CFIDE 嘅 file I/O 流程,佢哋亦寫明 RDS 相關條件唔係預設全開,但只要當年用咗 dev profile 或後來有人手動開返,就要當成紅燈。第三,WAF 或反向 proxy 先擋 traversal、FILEIO、READ、WRITE 呢類 pattern,唔好當 WAF 可以代替 patch。第四,翻 7 月 2 日之後 web log、app log、WAF log,睇有冇讀 win.ini、寫檔、CFIDE 異常 request。

WAF 只係拖時間

今次值得記住嘅位好簡單:patch release、技術分析、攻擊嘗試之間嘅窗口而家縮到以小時計,唔再係等下個維護窗先算。Adobe 自己都喺 Security Blog 講,AI 令漏洞發現同攻擊節奏加速,所以 7 月 14 日起安全公告會由每月一次改為每月兩次。呢個改動聽落似廠商流程,其實對 admin 好現實:如果 patch 流程要等 CAB、供應商排期、夜晚停機,外網系統就要有臨時阻擋同監察頂住,中長線就要令 ColdFusion 由「冇人敢郁」變返成有 owner、有版本、有替代計劃嘅資產。

對仲喺跑 ColdFusion 2025 Update 9 / 2023 Update 20 或之前嘅團隊,排序好清楚:先 patch;未 patch 到,就收窄外網、關 RDS/CFIDE 非必要入口、加 WAF rule,同保住 log。舊 app 可以慢慢退場,但外網漏洞唔會等你慢慢開會。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook