Adobe reconoce que se están explotando vulnerabilidades de ColdFusion
Una de las vulnerabilidades de ColdFusion podría permitir que los atacantes tomaran el control de los servidores afectados.
Adobe ha advertido a los usuarios de ColdFusion, su software para servidores de aplicaciones, de que los hackers están explotando vulnerabilidades no parcheadas del producto que podrían llevar a tomar el control de los servidores afectados.
El pasado viernes la compañía publicó un aviso de seguridad en el que informaba sobre tres vulnerabilidades críticas identificadas como CVE-2013-0625, CVE-2013-0629 y CVE-2013-063 y que afectan a ColdFusion 10, 9.0.2, 9.0.1 y 9.0.
El fallo CVE-2013-0625 se puede explotar superando los controles de autenticación y tomando el control del servidor ColdFusion; la vulnerabilidad CVE-2013-0629 puede permitir que los usuarios no autorizados accedan a directorios restringidos en un servidor vulnerable, mientras que el fallo CVE-2013-0631 puede provocar que se revele información.
En ese mismo aviso de seguridad Adobe reconoce que existen varios informes que indican que estas tres vulnerabilidades se están explotando y que las vulnerabilidades identificadas como CVE-2013-0625 y CVE-2013-0629 sólo afectan a los clientes de ColdFusion que no tienen habilitada la protección de contraseñas.
La compañía está trabajando para desarrollar parches para estas vulnerabilidades y espera lanzarlos el próximo 15 de enero. Hasta entonces, los clientes pueden realizar una serie de acciones que reduzcan los riesgos asociados con estos fallos.
Entre los pasos que se pueden dar para limitar los efectos de las vulnerabilidades, Adobe recomienda la de configurar un nombre de usuario y contraseña que sea diferente del utilizado por la cuenta de Administrador para los servicios RDS (Remote Development Services); otra medida es deshabilitar el RDS, así como desactivar el acceso externo a los directorios /CFIDE/administrator, /CFIDE/adminapi and /CFIDE/componentutils para todos los sitios. Adobe también recomienda eliminar los componentes o plantillas de ColdFusion innecesarios de los directorios raíz o CFIDE, además de implementar restricciones de control de acceso para el interfaz de Administrador y aplicaciones internas.
Instalar todos los parches de ColdFusion disponibles y hacer un seguimiento de las mejores prácticas de seguridad publicadas hasta el momento para ColdFusion 9 y ColdFusion 10 son otros de los consejos de Adobe.