Статья ColdFusion: забытый вектор атаки — от fingerprinting до RCE через актуальные CVE

Вскрытый серверный модуль на антистатическом коврике с обнажённой платой и процарапанной диагональной бороздой по дорожкам PCB. На радиаторе выгравирована надпись с идентификатором CVE, красный све...


На предпоследнем проекте мне попался ColdFusion 2021 за nginx reverse proxy - внутренний портал кадрового учёта банка, про который "забыли" при миграции на новый стек. Три часа от /CFIDE/administrator/ в nmap-выводе до загрузки CFML-webshell. Сервер не обновлялся больше года, а за это время Adobe закрыла больше десятка дыр с CVSS 10.0. И нет, это не legacy-хлам из нулевых - это рабочие серверы финансовых организаций и enterprise-компаний, где ColdFusion тянет на себе критичные бизнес-процессы.

Ниже - разбор конкретных CVE и техник их эксплуатации: от recon до получения RCE, с MITRE ATT&CK маппингом, предусловиями каждой техники и чеклистом hardening.

Бизнес-логика атаки: зачем ломать ColdFusion​

ColdFusion крутится на JVM и обычно работает с привилегиями сервисного аккаунта, у которого доступ к файловой системе, базам данных и внутренней сети. Компрометация ColdFusion-сервера даёт атакующему:
  • Arbitrary file read - конфигурационные файлы с учётными данными БД, API-ключами, LDAP-паролями. По MITRE ATT&CK это Credentials In Files (T1552.001, Credential Access)
  • Webshell deployment - персистентный доступ через CFML-файлы, которые не вызывают подозрений у стандартных антивирусных движков. Это Web Shell (T1505.003, Persistence)
  • Lateral movement - через украденные credentials или прямое сетевое взаимодействие с внутренними сервисами
По данным SecPod (декабрь 2025), в рождественскую кампанию 2025 года зафиксировали актора, генерировавшего тысячи вредоносных запросов по множеству ColdFusion CVE. Основная активность пришлась на 25 декабря - расчёт на ослабленный мониторинг в праздники. ColdFusion-эксплуатация составляла малую долю от более масштабной кампании, что может указывать на разные модели монетизации, хотя конкретная атрибуция (IAB - Initial Access Broker и т.п.) источниками не подтверждена.

По категоризации OWASP, рассматриваемые уязвимости ColdFusion попадают в A01 (Broken Access Control) и A08 (Software and Data Integrity Failures) - две из трёх самых частых категорий в enterprise-приложениях.

Fingerprinting ColdFusion в периметре​

1784348927663.webp

ColdFusion оставляет характерные следы, которые видны ещё до отправки запросов к цели.

Shodan-запросы для пассивного recon:
Код:
http.title:"ColdFusion Administrator"
http.favicon.hash:-1315857455
http.html:"/CFIDE/"
Ключевые маркеры в HTTP-ответах: cookie CFID и CFTOKEN (специфичны для ColdFusion), пути /CFIDE/administrator/, /CFIDE/adminapi/, /CFIDE/scripts/, расширения .cfm и .cfc в URL. Заголовок Server: ColdFusion тоже попадается, если его не убрали при hardening.

Для определения точной версии - запрос к /CFIDE/adminapi/base.cfc?wsdl возвращает WSDL-описание, где в namespace может торчать номер версии. Страница /CFIDE/administrator/index.cfm показывает форму логина администратора, если эндпоинт не закрыт.

Ограничения fingerprinting: reverse proxy (nginx, Apache) перед ColdFusion способен скрывать характерные заголовки и пути. В таком случае ищите косвенные признаки - Java-стектрейсы в ответах 500, специфичные form action в HTML, наличие WDDX-структур в теле ответов.

Карта CVE: от path traversal до десериализации​

ColdFusion накопил внушительную историю уязвимостей с подтверждённой эксплуатацией in the wild. Ниже - ключевые, ранжированные по EPSS (вероятность эксплуатации в ближайшие 30 дней по данным FIRST.org):

CVECVSSSeverityCWEEPSS scoreEPSS percentileKEV
CVE-2024-207677.4HighCWE-2840.985199.91% (Top 1%)Да
CVE-2023-263608.6HighCWE-2840.9734~99% (Top 1%)Да
CVE-2026-4828210.0CriticalCWE-220.285897.92% (Top 3%)Да
CVE-2024-539618.1HighCWE-220.134095.99% (Top 5%)Нет
CVE-2026-483139.3CriticalCWE-220.0158-Нет
CVE-2026-4827610.0CriticalCWE-4340.0092-Нет

Все три CVE из CISA KEV сидят в Top 5% по EPSS. Это не теоретические угрозы - это активно эксплуатируемые вектора.

По анализу исследователей, проблема предположительно связана с обработкой файловых операций (конкретный уязвимый компонент не указан в NVD advisory). Пользовательский ввод обрабатывается без каноникализации пути, без проверки выхода за корневой каталог и без фильтрации последовательностей ../ (CWE-22, Path Traversal).

CVSS-вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Расшифровка: атака по сети (AV:N), низкая сложность (AC:L), аутентификация не нужна (PR:N), действия пользователя не нужны (UI:N), scope изменён (S:C) - влияние выходит за пределы уязвимого компонента. Полное влияние на конфиденциальность, целостность и доступность.

Результат - arbitrary code execution (согласно NVD). Предполагаемый вектор эксплуатации на основе патч-анализа: path traversal используется как file write primitive, после чего CFML-файл в web root даёт неаутентифицированное RCE с правами сервисного аккаунта ColdFusion.

Таймлайн оружеизации:
  • 30 июня 2026 - Adobe выпускает патч (APSB26-68), закрывая 11 уязвимостей, из них шесть с CVSS 10.0
  • 2 июля 2026 - исследователи публикуют анализ патча (patch diff)
  • Менее чем через 2 часа - по имеющимся данным, зафиксированы первые попытки эксплуатации (конкретные IoC требуют проверки источника)
  • 7 июля 2026 - CISA добавляет CVE в KEV Catalog с решением "Act" (Exploitation: active, Automatable: yes, Technical Impact: total)
Два часа. От публикации patch diff до первых атак - два часа. Если вы планировали "поставить патч на следующей неделе" - уже поздно.

Затронутые версии: ColdFusion 2025 Update 9 и ранее, ColdFusion 2023 Update 20 и ранее.

Предусловия: точный уязвимый компонент не указан в NVD advisory; предположительно, эксплуатация связана с RDS (RDSServlet), но официально это не подтверждено. Не работает если: применён патч APSB26-68, WAF с кастомными правилами инспектирует нестандартные протоколы. Тут есть нюанс: стандартные WAF не разбирают тело бинарных RDS-запросов - path traversal-сигнатуры (../, ..%2f) срабатывают только на URL-уровне.

В том же обновлении APSB26-68 закрыты CVE-2026-48276 и CVE-2026-48283 (оба CWE-434, Unrestricted Upload of File with Dangerous Type, CVSS 10.0), а также CVE-2026-48277, CVE-2026-48281 и CVE-2026-48316 (все CWE-20, Improper Input Validation, CVSS 10.0). Шесть уязвимостей с максимальным рейтингом в одном обновлении - такой плотности critical-багов для одного продукта я не припомню.

EPSS 0.9851 - Top 1%, одна из наиболее активно эксплуатируемых ColdFusion-уязвимостей.

Предусловия (критичные): admin panel должна быть доступна через интернет. NVD прямо указывает: "Exploitation of this issue requires the admin panel be exposed to the internet.""Для использования этой уязвимости необходимо, чтобы административная панель была доступна из интернета." Отсюда AC:H (высокая сложность) в CVSS-векторе - не потому, что эксплойт сложный, а потому что нужно конкретное условие среды. По той же причине AC:H присвоен и CVE-2024-53961 - обе требуют доступности admin panel.

Большинство атакующих использовали DigitalOcean Droplets, которые были быстро заблокированы хостером.

Что можно вытянуть при успешной эксплуатации:
  • neo-security.xml - хеши паролей администратора ColdFusion
  • neo-datasource.xml - строки подключения к БД, включая пароли
  • password.properties - seed для расшифровки Data Source паролей
  • web.xml - конфигурация сервлетов, полезна для планирования следующего шага
Затронутые версии: ColdFusion 2023 Update 6 и ранее, ColdFusion 2021 Update 12 и ранее.

CVE-2024-53961 (CVSS 8.1, High, CWE-22) - похожая история: path traversal. NVD-описание указывает на arbitrary file system read, но CVSS-вектор (C:H/I:H/A:H) предполагает влияние и на целостность и доступность - расхождение между описанием и вектором стоит уточнить у NVD/Adobe. Тоже требует доступности admin panel. По неподтверждённым данным, PoC-код для неё мог быть доступен, что делало патчирование приоритетным. EPSS 0.1340 (Top 5%).

CISA KEV описывает её как "Deserialization of Untrusted Data Vulnerability" - налицо расхождение классификаций: NVD-вектор указывает влияние только на конфиденциальность (I:N/A:N), тогда как CISA и NVD-описание упоминают arbitrary code execution. В CISA KEV с марта 2023 года. По данным inthewild.io, активная эксплуатация продолжается более 1220 дней.

Severity - High (CVSS 8.6), не Critical. Вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N указывает на влияние только на конфиденциальность (I:N, A:N), что противоречит упоминанию arbitrary code execution в NVD-описании. Аутентификация не требуется.

Затронутые версии: ColdFusion 2018 Update 15 и ранее, ColdFusion 2021 Update 5 и ранее. Nuclei-шаблон: http/cves/2023/CVE-2023-26360.yaml.

Рождественская кампания 2025 года включала эксплуатацию CVE-2023-26360 в связке с другими CVE: атакующие циклически перебирали вектора с интервалом 1-5 секунд, используя JNDI/LDAP injection, предположительно цепованную через WDDX-десериализацию. Для подтверждения уязвимости хостов применялись OAST-коллбэки через Interactsh (ProjectDiscovery) - легитимный инструмент для OOB-верификации, который затрудняет обнаружение по network-артефактам.

Цепочка эксплуатации и место в kill chain​

1784348982193.webp

Типичная атака на ColdFusion укладывается в такую последовательность MITRE ATT&CK:
  1. Recon - Shodan/nuclei, обнаружение /CFIDE/ эндпоинтов, определение версии
  2. Exploit Public-Facing Application (T1190, Initial Access) - применение одного из CVE
  3. Credentials In Files (T1552.001, Credential Access) - извлечение конфигурационных файлов через file read
  4. Web Shell (T1505.003, Persistence) - загрузка CFML-webshell через file write
  5. Windows Command Shell (T1059.003, Execution) - выполнение команд от имени сервисного аккаунта
  6. Ingress Tool Transfer (T1105, C2) - загрузка tunneling-инструментов или C2-агентов
  7. Exploitation for Privilege Escalation (T1068) - при необходимости повышение привилегий
Выбор вектора зависит от условий:

УсловиеВекторРезультат
CF 2025.9 или CF 2023.20 и ранее (предположительно, RDS включен)CVE-2026-48282Path traversal -> RCE (согласно NVD)
Admin panel доступна, CF 2023.6 или CF 2021.12 и ранееCVE-2024-20767File read, credentials для lateral movement
Admin panel доступна, CF 2023.11 или CF 2021.17 и ранееCVE-2024-53961File read
CF 2018 U15 или CF 2021 U5 и ранееCVE-2023-26360Improper Access Control, чтение данных (CISA описывает как deserialization)
CF 2025.9 или CF 2023.20 и ранееCVE-2026-48276/48283Unrestricted file upload, RCE

Вектор через CVE-2026-48282 - самый "вкусный": не требует аутентификации, не зависит от доступности admin panel, даёт полный RCE (CVSS 10.0, Scope Changed). CISA подтверждает: Automatable: yes, Technical Impact: total.

Ограничения техник и когда эксплуатация не сработает​

Защитная мераПротив каких CVE эффективнаПочему
Отключение RDS (удаление RDSServlet из web.xml)CVE-2026-48282 (предположительно)Может убрать точку входа, но уязвимый компонент не подтверждён в advisory
Admin panel за VPN/IP whitelistCVE-2024-20767, CVE-2024-53961Эксплуатация требует доступности admin panel
JDK serialization filters (-Djdk.serialFilter)CVE-2023-26360 (если атака использует десериализацию, как в CISA-описании; NVD классифицирует как CWE-284 - тогда мера неэффективна), десериализационные цепочкиБлокирует опасные классы при десериализационном векторе
CrowdStrike Falcon / SentinelOne на хостеВсе (post-exploitation)Behavioral detection: cmd.exe/powershell.exe от Java-процесса
Application-aware WAFCVE-2026-48282 (частично)Только если WAF умеет инспектировать бинарный RDS-протокол
Read-only web root / noexec partitionCVE-2026-48276/48283 (file upload), webshell deploymentБлокирует запись и исполнение в web-каталоге

Что не помогает: стандартный WAF без кастомных правил не инспектирует бинарный RDS-протокол. SIEM без специфичных ColdFusion-правил не алертит на обращения к /CFIDE/. Network-based IDS пропускает OAST-коллбэки через легитимные DNS-запросы.

Контекст применения: описанные CVE эксплуатируются как при внешнем пентесте (ColdFusion с доступом из интернета), так и при внутреннем (ColdFusion во внутренней сети без сегментации).

Минилаб: воспроизведение в контролируемой среде​

Требования к окружению​

  • ОС: Windows 10/11 или GNU/Linux (Ubuntu 22.04+) с Docker
  • RAM: минимум 8 ГБ (JVM ColdFusion жрёт 2-4 ГБ)
  • Сеть: online для загрузки Docker-образов и nuclei-шаблонов
  • Инструменты: Nuclei (последний релиз), Burp Suite Community/Pro, curl
Для валидации можно использовать nuclei в режиме сканирования:
Bash:
# Предварительно обновите шаблоны: nuclei -update-templates
nuclei -id CVE-2026-48282 -u https://target -verbose
nuclei -id CVE-2023-26360 -u https://target -verbose
Для CVE-2024-20767 на Exploit-DB опубликован EDB-52387 ("Adobe ColdFusion 2023.6 - Remote File Read") - стоит изучить для понимания механики HTTP-запросов к PMS-эндпоинтам.

Формула на бумаге понятна, но kill chain по-настоящему ощущается, когда сам прогоняешь этапы на живом стенде. На HackerLab.pro (https://hackerlab.pro) в web-категории есть задачи, где подобные server-side уязвимости нужно собрать в полную цепочку самостоятельно - полезно для понимания того, как path traversal переходит в RCE.

Чеклист hardening ColdFusion​

Готовый к передаче сисадмину список мер:
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

ColdFusion - не "забытый" сервер, который можно пропустить в скоупе пентеста. Три CVE в CISA KEV с подтверждённой эксплуатацией in the wild, EPSS в Top 1% для двух из них, менее двух часов от раскрытия деталей до первых атак на CVE-2026-48282. Для ColdFusion, где EPSS-скоры зашкаливают, это 29 месяцев открытого RCE.

Каждый раз, когда на пентесте в результатах сканирования всплывает /CFIDE/administrator/, я проверяю две вещи: доступен ли RDS и какой Update стоит. В большинстве случаев ответ неутешительный - сервер отстаёт на несколько обновлений, потому что "на нём ничего важного" или "он за reverse proxy, значит безопасен". Reverse proxy не спасает от CVE-2026-48282, если уязвимый эндпоинт доступен извне. Не спасает от CVE-2023-26360, если десериализация доступна через любой .cfc-эндпоинт. Adobe выпускает патчи - их нужно ставить, а не надеяться на сетевой периметр. Шесть уязвимостей с CVSS 10.0 в одном обновлении APSB26-68 - это не про качество аудита Adobe, а про масштаб технического долга в кодовой базе ColdFusion. И пока этот долг существует, ColdFusion останется одним из самых благодарных initial access-векторов для любого, кто умеет его искать.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab