Adobe ColdFusion 2021 Exploit CVE-2023-26360

 O que é o Adobe ColdFusion? 

É uma plataforma de desenvolvimento de aplicações web criada originalmente pela Allaire, depois adquirida pela Macromedia e, atualmente, mantida pela Adobe. A linguagem usada para construir as aplicações é CFML (ColdFusion Markup Language) que é parecida com HTML, usada para escrever lógica de servidor. 

ColdFusion roda sobre a JVM (Java Virtual Machine), então permite integração com bibliotecas Java. Possui várias funcionalidades embutidas, como a criação de PDFs, envio de e-mails, manipulação de imagens e agendamento de tarefas. 

A versão 2021 Update 5 e 2018 Update 15, são vulneráveis a RCE - Remote Code Execution devido a falha no controle de acesso. 

O exploit usado para explorar a falha aponta para o endpoint: 

/cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/iedit.cfc

Ao tentar fazer a exploração usando o Burp Suite com a requisição capturada, não funcionou. Ao realizar uma pesquisa, encontrei no Github uma solicitação de correção para o exploit no metasploit LINK No final da solicitação, encontrei o link para o "pull request" e a correção do exploit. 

A versão do Metasploit no Kali não estava atualizada com o exploit, então adicionei os arquivos no diretório /usr/share/metasploit-framework/modules. Primeiro adicionei o arquivo do tipo auxiliary/gather para validar a vulnerabilidade: adobe_coldfusion_fileread_cve_2023_26360.rb, e em seguida adicionei o exploit em exploit/multi/http o arquivo adobe_coldfusion_rce_cve_2023_26360.rb 

Para carregar os novos arquivos no Metasploit, basta acessar a ferramenta e executar o comando: 

reload_all

Validei a importação dos arquivos com o comando 

search "adobe coldfusion" 

Conforme os testes descritos na validação do pull request (LINK), executei o exploit modificando apenas o RHOST e o LHOST para receber a shell-reversa. Nesse processo, desabilitei o BurpSuite para não ter conflito na porta 8080, que é usada pelo exploit. 

Ao executar, a falha é explorada com sucesso, habilitando uma conexão reversa para o Kali e permitindo o acesso SYSTEM no servidor Windows vulnerável. 

A correção dessa vulnerabilidade requer a atualização do Coldfusion para as versões 2018 Update 16 e 2021 Update 6. A severidade é alta com score em 8.6 no CVSS3.1 e os vetores são definidos como: 

Attack Vector (AV): Network

Attack Complexity (AC): Low

Privileges Required (PR): None

User Interaction (UI): None

Scope (S): Charged (C)

Confidentiality (C): High (H)

Integrity (I): None

Availability (A): None 

No Mitre Att&ck, a vulnerabilidade tem a seguinte cadeia de ataque: 

É isso. 

#Hackingbr