Angriffe auf ungepatchte ColdFusion-LĂĽcken
Adobe warnt davor, dass Cyber-Kriminelle durch bislang nicht geschlossene Sicherheitslöcher in ColdFusion-Server einsteigen. Ein passender Patch ist frühestens in einer Woche fertig.
- Ronald Eikenberg
Adobe warnt vor drei Schwachstellen in seinem Anwendungsserver ColdFusion, die bereits aktiv fĂĽr Angriffe ausgenutzt werden. Verwundbar sind die Versionen 9.0, 9.0.1, 9.0.2 und 10 fĂĽr alle unterstĂĽtzten Betriebssysteme. Eine Patch gibt es bislang nicht.
Eine der Lücken erlaubt es einem Angreifer, aus der Ferne die Authentifizierung zum umgehen und potenziell die Kontrolle über den Server zu übernehmen. Eine weitere erlaubt Angreifern den Zugriff auf geschützte Verzeichnisse. Die dritte ermöglicht bei einem bereits kompromittierten Server den Zugriff auf sicherheitskritische Informationen. Hiervon ist Version 10 nicht betroffen.
Laut Adobe lassen sich die ersten beiden LĂĽcken nur ausnutzen, wenn der Passwortschutz von ColdFusion nicht aktiv ist oder kein Passwort festgelegt wurde. Das Unternehmen arbeitet bereits an einem Patch und plant, diesen ab dem 15. Januar zum Download anzubieten. Unterdessen soll man einige Sicherheitsanweisungen befolgen, um sicherzustellen, dass den ColdFusion-Server nicht von Cyber-Ganoven ĂĽbernommen wird.
Unter anderem soll man einen Benutzernamen und ein Passwort fĂĽr die Remote Development Services (RDS) festlegen. Dabei ist darauf zu achten, dass sich die Zugangsdaten vom Admin-Account unterscheiden. Zudem empfiehlt Adobe, den externen Zugriff auf die Verzeichnisse /CFIDE/administrator, /CFIDE/adminapi und /CFIDE/componentutils zu verbieten. (rei)