漏洞预警 | Adobe ColdFusion远程命令执行漏洞预警（CVE-2018-15961）

2018年11月,白帽汇安全研究院发现公网上出现了在9月份公布的Adobe ColdFusion服务器任意文件上传漏洞（CVE-2018-15961）的实际利用痕迹，攻击者利用该漏洞上传jsp语言的菜刀脚本呢，从而达到远程命令执行。此次漏洞的利用主要是ColdFusion服务器的两方面的缺陷造成的：一、服务器存在未授权任意文件上传。攻击者在未授权的情况下只要构造出POST上传包发送到特定页面就可以上传任意文件，这个问题即使在打了补丁后也存在（只是不能再上传jsp脚本）；二、服务器的上传文件后缀黑名单没有把jsp写入。这导致jsp文件可直接在服务器被解析执行，配合菜刀使用可达到远程命令执行。而且经过测试，木马脚本的运行权限都是system，这导致服务器完全陷入黑客手中，面临僵尸网络和挖矿等安全风险。预计在未来一段时间，该漏洞预计会对Adobe的服务器市场造成一定的冲击。

Adobe ColdFusion在全球占据大量市场

Adobe ColdFusion从几年前开始就不断爆出高危安全问题，很多都是反序列化和任意命令执行漏洞，每次Adobe ColdFusion发布的补丁都会引起安全界的大量关注，整个程序的安全修复任重道远。

2016年就爆出Adobe ColdFusion高危漏洞

概况

Adobe ColdFusion是美国Adobe公司在1995年开发的一个动态Web服务器，最初是为了创建能与数据库连接的网站而开发的，后来成为了一个全面的开发平台，包括一个集成好的开发环境以及针对Web应用的程序设计的CFML脚本语言。CFML在功能和用途上与 PHP 、ASP和JSP类似，但它的标签语法更像HTML，其脚本代码也像ja vasc ript。除CFML之外ColdFusion也支持其它编程语言，比如服务器端的Actionsc ript。

目前FOFA系统最新数据（一年内数据）显示全球范围内共有173036个Adobe ColdFusion对外开放服务。美国使用数量最多，共有61973台，英国第二，共有11601台，越南第三，共有9458台，德国第四，共有8297台，澳大利亚第五，共有7714台。

全球范围内Adobe ColdFusion分布情况（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江省使用用数量最多，共有1075台；北京市第二，共有992台，广东省第三，共有699台，上海市第四，共有183台，江苏省第五，共有127台。

中国大陆范围内Adobe ColdFusion分布情况（仅为分布情况，非漏洞影响情况）

危害等级

严重

漏洞原理

CVE-2018-15961

ColdFusion由于使用了CKEditor富文本编辑器代替了FCKEditor编辑器，导致了一个可绕过文件后缀验证的文件上传漏洞。在settings.cfm里，禁止上传的文件后缀有cfc,exe,php,asp,cfm,cfml。但没有禁止jsp文件，并且coldfusion支持解析jsp文件，导致可以上传jsp木马来getshell

默认禁止上传的文件类型

攻击者只要构造POST的文件上传包，发送HTTP请求到/cf_sc ripts/sc ripts/ajax/ckeditor/plugins/filemanager/upload.cfm，就可以实现任意文件上传。

当时上传成功时，文件会保存在默认的文件夹/cf_sc ripts/sc ripts/ajax/ckeditor/plugins/filemanager/uploadedFiles/

在成功上传一个webshell之后，连接菜刀

漏洞影响

目前漏洞影响版本号包括：

Adobe ColdFusion 2016.0 Update 6
Adobe ColdFusion 2016.0 Update 5
Adobe ColdFusion 2016.0 Update 4
Adobe ColdFusion 2016.0 Update 3
Adobe ColdFusion 2016.0 Update 2
Adobe ColdFusion 2016.0 Update 1
Adobe ColdFusion 2018.0.0.310739
Adobe ColdFusion 11 Update 9
Adobe ColdFusion 11 Update 8
Adobe ColdFusion 11 Update 7
Adobe ColdFusion 11 Update 6
Adobe ColdFusion 11 Update 5
Adobe ColdFusion 11 Update 4
Adobe ColdFusion 11 Update 3
Adobe ColdFusion 11 Update 2
Adobe ColdFusion 11 Update 14
Adobe ColdFusion 11 Update 13
Adobe ColdFusion 11 Update 12
Adobe ColdFusion 11 Update 11
Adobe ColdFusion 11 Update 10
Adobe ColdFusion 11 Update 1

漏洞POC

目前FOFA客户端平台已经更新CVE-2018-15961的检测POC。

CVE-2018-15961 POC截图

在研究过程中发现新版的系统还是存在文件的未授权上传，黑客有可能通过大量文件的上传对服务器进行Dos攻击。

CVE编号

CVE-2018-15961

修复建议

1、该漏洞补丁早已发出，用户可以关注通过 https://helpx.adobe.com/security/products/coldfusion/apsb18-33.html

获取漏洞补丁。

2、通过防火墙等设置限制公网ip对Web的访问，只允许本地访问。

白帽汇会持续对该漏洞进行跟进。后续可以持续关注链接： https://nosec.org/home/detail/1958.html

参考

[1] https://www.securityfocus.com/bid/105314

[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15961

[3] https://zh.wikipedia.org/wiki/Adobe_ColdFusion

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。