Adobe ColdFusion: атаки стартовали за часы

Всего через два часа после того, как специалисты по безопасности раскрыли технические детали критической уязвимости в Adobe ColdFusion, злоумышленники уже интегрировали её в свои инструменты для взлома. Речь идет о бреши CVE-2026-48282, которой присвоен максимальный рейтинг опасности — 10 баллов по шкале CVSS. Проблема затрагивает версии платформы 2025.9, 2023.20 и более ранние сборки. Суть бага заключается в механизме обхода путей (path traversal), который позволяет неавторизованному хакеру не только просматривать системные каталоги, но и записывать произвольные файлы на сервер. В конечном итоге это дает возможность удаленного выполнения кода (RCE), что делает атаку максимально разрушительной для корпоративных систем.

Основатель KEVIntel Райан Дьюхерст сообщил, что всплеск вредоносной активности был мгновенно зафиксирован глобальной сетью ханипотов. Первый подозрительный запрос, нацеленный на извлечение классического файла C:\Windows\win.ini, поступил с IP-адреса 103.207.14[.]220 практически синхронно с публикацией эксплойта. Канадский центр кибербезопасности (CCCS) официально подтвердил, что инциденты уже происходят в реальном секторе, и призвал администраторов не откладывать установку патчей. По оценке проекта Shadowserver, в данный момент в открытом интернете насчитывается порядка 800 доступных экземпляров Adobe ColdFusion, которые потенциально могут стать жертвами этой автоматизированной атаки.

Важно подчеркнуть, что минувшая неделя выдалась для Adobe крайне напряженной: компания закрыла сразу восемь уязвимостей в ColdFusion, причем шесть из них были оценены в те же максимальные 10 баллов (CVE-2026-48276, CVE-2026-48277, CVE-2026-48281, CVE-2026-48282, CVE-2026-48283 и CVE-2026-48316). Эти ошибки создавали целый спектр угроз — от загрузки вредоносных файлов и навигации по каталогам до исполнения опасного кода. Дополнительные две проблемы, отмеченные как CVE-2026-48313 и CVE-2026-48315 (9,3 балла), открывали путь к чтению конфиденциальных данных и повышению привилегий. Исследователи из watchTowr отметили, что в ходе исправлений разработчики также «закрыли» несколько недокументированных побочных эффектов, связанных с удалением, перемещением и созданием папок.

Параллельно с этим инженеры Adobe выпустили заплатку для продукта Adobe Campaign Classic, устранив критический баг авторизации CVE-2026-48286 (также 10 баллов), который делал возможным выполнение кода на локальных инсталляциях ACC 7.4.3 build 9396 и младше. Обновление вошло в сборку 9397, а облачные версии были пропатчены автоматически. Учитывая молниеносную реакцию хакеров и массовость незащищенных серверов, текущая ситуация требует от ИТ-команд немедленных действий: промедление с установкой апдейтов фактически равносильно приглашению для взломщиков, особенно в условиях, когда эксплойт уже стал достоянием публики.

Случай с CVE-2026-48282 — ещё одно напоминание о том, что в современном киберпространстве время решает всё. Два часа между разглашением и первой атакой — это не рекорд, а новый тревожный стандарт. Патчи выпущены, но почти 800 открытых инстансов ColdFusion в сети — это 800 потенциальных точек входа. Промедление сейчас обойдётся дороже, чем любое внеплановое обновление.

Этот сайт использует файлы Cookies.

Нажимая ПРИНЯТЬ или продолжая просмотр сайта, Вы разрешаете их использование. Подробнее

ПРИНЯТЬ