La tecnologia ColdFusion di Adobe è ancora una volta nel mirino degli hacker a causa di una nuova vulnerabilità critica presente nel software, una falla che la software house riconosce ufficialmente (CVE-2013-3336) come presente nelle versioni 10, 9.0.2, 9.0.1 e 9.0 del software.
La falla, spiega Adobe, potrebbe garantire l’accesso non autorizzato ai file presenti sul server (sistemi operativi Windows, Mac e Unix); la società parla inoltre di “rapporti” esterni sulla circolazione pubblica di un exploit in grado di sfruttare il baco, e suggerisce di restringere l’accesso pubblico alle directory – fornendo istruzioni per la versione nove e dieci di ColdFusion – e in attesa di una patch risolutiva.
Adobe parla genericamente di possibili exploit, ma stando alle notizie recenti e meno recenti quegli exploit sono tutto fuorché ipotetici : il collettivo hacker noto come Hack the Planet (HTP) sostiene di aver compromesso i server del MIT, di SourceForge, della società di hosting Linode ( lo scorso aprile ) e addirittura dei server di ICANN, e uno dei “buchi” sfruttati per i raid telematici sarebbe proprio riconducibile ad Adobe ColdFusion.
L’attacco di HTP sarebbe di ampia portata, e gli hacker (aderenti a un codice di comportamento “grey hat”) hanno pubblicato i record per tutti i domini TLD.edu con tanto di hash MD5 per le password – per la metà dei domini sono incluse le password in chiaro.
Un’altra vulnerabilità che minaccia di fare parecchi danni è quella recentemente emersa in Internet Explorer 8 : anche in questo caso si tratta di una falla 0-day già attivamente sfruttata da smanettoni e criminali, e per correre ai ripari Microsoft ha pubblicato una soluzione tampone – in forma di pacchetto “Fix it” per l’installazione rapida – mentre la patch vera è propria è in fase di test prima della distribuzione finale.
Alfonso Maruccia