어도비 콜드퓨전, 원격 코드 실행 취약점 발견

어도비(Adobe)에서 제공하는 프로그래밍 언어 콜드퓨전(ColdFuseon)에 원격 코드 실행 취약점이 발견됐다.

어도비는 CVE-2023-29300(CVSS 점수 9.8)으로 지정된 이번 취약점과 관련해 매우 제한적인 원격 코드 실행 공격이 실제 업무 현장에서 악용되었다는 것을 확인했다고 밝혔다. 인증되지 않은 접속자가 이 취약점을 이용해 Coldfusion 2018, 2021 및 2023 서버에서 원격으로 명령을 실행할 수 있다.

이 취약점을 발견한 미국의 사이버 보안 기업 CrowdStrike의 보안 연구원 Nicolas Zilio에 따르면 이 문제가 신뢰할 수 없는 데이터의 역직렬화에서 비롯됐다.

다만 어도비는 실제 업무 환경에서 이 취약점이 어떻게 악용되는지에 대해서는 기술적 세부 사항을 공개하지 않았다. 문제가 됐던 Coldfusion 취약점 문제는 총 세 개로 자세한 내용은 다음과 같다.

취약점 분류	취약점 영향	위험도	CVSS 점수	CVE 번호
부적절한 액세스 제어(CWE-284)	보안 기능 우회	심각	7.5	CVE-2023-29298
신뢰할 수 없는 데이터의 역직렬화(CWE-502)	임의 코드 실행	심각	9.8	CVE-2023-29300
과도한 인증 시도의 부적절한 제한(CWE-307)	보안 기능 우회	중요	5.9	CVE-2023-29301

한편 2023년 3월, 미국 CISA(Cyber Security and Infrastructure Security Agency)는 CVE-2023-26360(CVSS 점수: 8.6)으로 지정된 어도비 Coldfusion의 중요한 취약점을 알려진 취약점 목록에 추가했다.

이 결함을 악용하면 잘못된 액세스 제어로 인해 원격 공격자가 임의 코드를 실행할 수 있으며, 이로 인해 임의 파일 시스템 읽기 및 메모리 누수가 발생할 수 있다.

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.

석주원 기자 다른기사 보기