Angriffe auf ungepatchte ColdFusion-Lücken

Adobe warnt vor drei Schwachstellen in seinem Anwendungsserver ColdFusion, die bereits aktiv für Angriffe ausgenutzt werden. Verwundbar sind die Versionen 9.0, 9.0.1, 9.0.2 und 10 für alle unterstützten Betriebssysteme. Eine Patch gibt es bislang nicht.

Eine der Lücken erlaubt es einem Angreifer, aus der Ferne die Authentifizierung zum umgehen und potenziell die Kontrolle über den Server zu übernehmen. Eine weitere erlaubt Angreifern den Zugriff auf geschützte Verzeichnisse. Die dritte ermöglicht bei einem bereits kompromittierten Server den Zugriff auf sicherheitskritische Informationen. Hiervon ist Version 10 nicht betroffen.

Laut Adobe lassen sich die ersten beiden Lücken nur ausnutzen, wenn der Passwortschutz von ColdFusion nicht aktiv ist oder kein Passwort festgelegt wurde. Das Unternehmen arbeitet bereits an einem Patch und plant, diesen ab dem 15. Januar zum Download anzubieten. Unterdessen soll man einige Sicherheitsanweisungen befolgen, um sicherzustellen, dass den ColdFusion-Server nicht von Cyber-Ganoven übernommen wird.

Unter anderem soll man einen Benutzernamen und ein Passwort für die Remote Development Services (RDS) festlegen. Dabei ist darauf zu achten, dass sich die Zugangsdaten vom Admin-Account unterscheiden. Zudem empfiehlt Adobe, den externen Zugriff auf die Verzeichnisse /CFIDE/administrator, /CFIDE/adminapi und /CFIDE/componentutils zu verbieten. (rei)