어도비(Adobe)에서 제공하는 프로그래밍 언어 콜드퓨전(ColdFuseon)에 원격 코드 실행 취약점이 발견됐다.
어도비는 CVE-2023-29300(CVSS 점수 9.8)으로 지정된 이번 취약점과 관련해 매우 제한적인 원격 코드 실행 공격이 실제 업무 현장에서 악용되었다는 것을 확인했다고 밝혔다. 인증되지 않은 접속자가 이 취약점을 이용해 Coldfusion 2018, 2021 및 2023 서버에서 원격으로 명령을 실행할 수 있다.
이 취약점을 발견한 미국의 사이버 보안 기업 CrowdStrike의 보안 연구원 Nicolas Zilio에 따르면 이 문제가 신뢰할 수 없는 데이터의 역직렬화에서 비롯됐다.
다만 어도비는 실제 업무 환경에서 이 취약점이 어떻게 악용되는지에 대해서는 기술적 세부 사항을 공개하지 않았다. 문제가 됐던 Coldfusion 취약점 문제는 총 세 개로 자세한 내용은 다음과 같다.
취약점 분류 |
취약점 영향 |
위험도 |
CVSS 점수 |
CVE 번호 |
부적절한 액세스 제어(CWE-284) |
보안 기능 우회 |
심각 |
7.5 |
CVE-2023-29298 |
신뢰할 수 없는 데이터의 역직렬화(CWE-502) |
임의 코드 실행 |
심각 |
9.8 |
CVE-2023-29300 |
과도한 인증 시도의 부적절한 제한(CWE-307) |
보안 기능 우회 |
중요 |
5.9 |
CVE-2023-29301 |
한편 2023년 3월, 미국 CISA(Cyber Security and Infrastructure Security Agency)는 CVE-2023-26360(CVSS 점수: 8.6)으로 지정된 어도비 Coldfusion의 중요한 취약점을 알려진 취약점 목록에 추가했다.
이 결함을 악용하면 잘못된 액세스 제어로 인해 원격 공격자가 임의 코드를 실행할 수 있으며, 이로 인해 임의 파일 시스템 읽기 및 메모리 누수가 발생할 수 있다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.