滲透測試公司發現ColdFusion管理頁漏洞
英國倫敦滲透測試公司ProCheckUp在Adobe公司的ColdFusion編程語言中發現了一個漏洞,該漏洞使成千上萬個公司面臨著攻擊的威脅。
ProCheckUp公司的研究員通過利用在ColdFusion Administrator(ColdFusion服務器的管理項目)中發現的目錄遍歷(directory traversal)和文件檢索漏洞,能夠從正在運行ColdFusion的服務器上訪問文件(包括用戶名和密碼)。不需要知道管理密碼,標準的Web瀏覽器就可被用來執行該攻擊。
ProCheckUp管理經理Richard Brain說攻擊者能夠利用該漏洞來從服務器上竊取文件,獲得安全領域的訪問權限,甚至能夠修改文件內容,或關閉網站或應用程序。
據Adobe官方網站的報道,美國銀行、JPMorgan Chase公司、美國聯邦儲備銀行、美國參議院以及賽門鐵克和邁克菲公司都采用了ColdFusion。
Brain說他的研究顯示大概有一千萬到兩千萬個網站是使用ColdFusion編寫的,并配備使用ColdFusion管理頁面。Brain說,“根據我們的調查,35%到40%使用ColdFusion的公司都暴露了其管理頁面,導致了其他人能夠讀取文件服務器上的文件。”
ProCheckUp在今年四月向Adobe報告了該漏洞,Adobe公司在8月10日發布了補丁。Procheckup已經發布了關于這個漏洞的安全咨文,并將在7天后發布實際的利用代碼,使管理員能夠應用該補丁。
但Brain警告說Adobe的補丁適用于ColdFusion 8和9,大多數用戶仍然在使用ColdFusion 5、6和7,針對這幾個版本的補丁還未發布。
“這是一個很大的漏洞,如果這個漏洞被利用,這將導致一千萬到兩千萬個網站受到損害。”Brain說,“我建議使用ColdFusion 7及以下版本的用戶禁止訪問ColdFusion管理員目錄功能。這就意味著要改變Web服務器控制臺設置,以防止用戶對CFIDE的訪問。 ”
【編輯推薦】
