Vulnerabilidad Zero-day en ColdFusion

Adobe ha publicado actualizaciones de emergencia para arreglar una vulnerabilidad crítica de la plataforma de desarrollo web ColdFusion. El fallo permite ejecutar código arbitrario y ya está siendo explotado.

El fallo de seguridad permite que un atacante ignore las restricciones para subir archivos al servidor. Para tomar ventaja, el Hacker debe ser capaz de enviar código ejecutable a un directorio de archivos en un servidor web. Después, el código se puede ejecutar con una petición HTTP, menciona adobe en su boletín de seguridad.

Charlie Arehart, un consultor independiente reconocido por reportar la vulnerabilidad, descubrió el fallo cuando se usó contra uno de sus clientes.

Después de identificar el enfoque del atacante, lo reportó a Adobe junto con una propuesta de solución. La compañía fue rápida en su respuesta y publicó un arreglo en pocos días.

Arehart no compartió detalles sobre cómo los atacantes lograron el ataque, por temor a que sea usado contra servidores aún vulnerables.

Sin embargo, es posible que un hacker hábil conecte las pistas en el boletín de Adobe y descubra cómo explotar el error.

De no ser posible aplicar las más recientes actualizaciones, un método para mitigar el riesgo es crear restricciones para las peticiones a directorios que almacenan archivos subidos al servidor. Los desarrolladores también deberían modificar su código para no permitir extensiones de archivo ejecutable y revisar la lista ellos mismos, según las recomendaciones de las guías de Adobe ColdFusion.