Οι φορείς απειλών χρησιμοποιούν δημόσια εκμετάλλευση για ένα ελάττωμα παράκαμψης κρίσιμου ελέγχου ταυτότητας στο ProjectSend για να ανεβάσουν webshells και να αποκτήσουν απομακρυσμένη πρόσβαση σε διακομιστές.
Το ελάττωμα, που εντοπίζεται ως CVE-2024-11680, είναι ένα κρίσιμο σφάλμα ελέγχου ταυτότητας που επηρεάζει τις εκδόσεις του ProjectSend πριν από το r1720, επιτρέποντας στους εισβολείς να στέλνουν ειδικά διαμορφωμένα αιτήματα HTTP στο ‘options.php’ για να αλλάξουν τη διαμόρφωση της εφαρμογής.
Η επιτυχής εκμετάλλευση επιτρέπει τη δημιουργία αδίστακτων λογαριασμών, τη φύτευση webshells και την ενσωμάτωση κακόβουλου κώδικα JavaScript.
Αν και το ελάττωμα επιδιορθώθηκε στις 16 Μαΐου 2023, δεν του εκχωρήθηκε CVE μέχρι χθεςαφήνοντας τους χρήστες να αγνοούν τη σοβαρότητά του και τον επείγοντα χαρακτήρα της εφαρμογής της ενημέρωσης ασφαλείας.
Σύμφωνα με το VulnCheck, το οποίο ανίχνευσε ενεργή εκμετάλλευση, ο ρυθμός επιδιόρθωσης ήταν άθλιος μέχρι στιγμής, με το 99% των περιπτώσεων ProjectSend να εκτελούν ακόμα μια ευάλωτη έκδοση.
Χιλιάδες περιπτώσεις εκτέθηκαν
Το ProjectSend είναι μια διαδικτυακή εφαρμογή κοινής χρήσης αρχείων ανοιχτού κώδικα που έχει σχεδιαστεί για να διευκολύνει την ασφαλή, ιδιωτική μεταφορά αρχείων μεταξύ ενός διαχειριστή διακομιστή και των πελατών.
Είναι μια μετρίως δημοφιλής εφαρμογή που χρησιμοποιείται από οργανισμούς που προτιμούν αυτο-φιλοξενούμενες λύσεις σε σχέση με υπηρεσίες τρίτων όπως το Google Drive και το Dropbox.
Η Censys αναφέρει ότι υπάρχουν περίπου 4.000 παρουσίες ProjectSend που αντιμετωπίζουν το κοινό στο διαδίκτυο, οι περισσότερες από τις οποίες είναι ευάλωτες, λέει ο VulnCheck.
Συγκεκριμένα, οι ερευνητές αναφέρουν ότι, με βάση τα δεδομένα του Shodan, το 55% των εκτεθειμένων περιπτώσεων τρέχει το r1605, που κυκλοφόρησε τον Οκτώβριο του 2022, το 44% χρησιμοποιεί μια ανώνυμη έκδοση από τον Απρίλιο του 2023 και μόνο το 1% είναι στο r1750, την ενημερωμένη έκδοση.
Το VulnCheck αναφέρει ότι βλέπει ενεργή εκμετάλλευση του CVE-2024-11680 που εκτείνεται πέρα από την απλή δοκιμή, συμπεριλαμβανομένης της αλλαγής των ρυθμίσεων του συστήματος για να καταστεί δυνατή η εγγραφή χρήστη, η απόκτηση μη εξουσιοδοτημένης πρόσβασης και η ανάπτυξη webshells για τη διατήρηση του ελέγχου σε παραβιασμένους διακομιστές.
Πηγή: VulnCheck
Αυτή η δραστηριότητα αυξήθηκε από τον Σεπτέμβριο του 2024, όταν οι Metasploit και Nuclei κυκλοφόρησαν δημόσια exploit για το CVE-2024-11680.
“Το VulnCheck παρατήρησε ότι οι διακομιστές ProjectSend που είχαν δημόσια εμφάνιση είχαν αρχίσει να αλλάζουν τους τίτλους της σελίδας προορισμού τους σε μεγάλες, τυχαίες συμβολοσειρές.” διαβάζει η έκθεση.
«Αυτά τα μεγάλα και τυχαία ονόματα συνάδουν με τον τρόπο με τον οποίο τόσο οι Nuclei όσο και οι Metasploit εφαρμόζουν τη λογική δοκιμών ευπάθειας».
“Και τα δύο εργαλεία εκμετάλλευσης τροποποιούν το αρχείο διαμόρφωσης του θύματος για να αλλάξουν το όνομα τοποθεσίας (και επομένως τον τίτλο HTTP) με μια τυχαία τιμή.”
GreyNoise παραθέτει 121 IP συνδέεται με αυτή τη δραστηριότητα, υποδηλώνοντας εκτεταμένες προσπάθειες παρά μια μεμονωμένη πηγή.
.jpg "Επιθέσεις χάκερ σε εκτεθειμένους διακομιστές ProjectSend")
Πηγή: VulnCheck
Το VulnCheck προειδοποιεί ότι τα κελύφη ιστού αποθηκεύονται στον κατάλογο ‘upload/files’, με ονόματα που δημιουργούνται από μια χρονική σήμανση POSIX, τον κατακερματισμό SHA1 του ονόματος χρήστη και το αρχικό όνομα/επέκταση αρχείου.
Η άμεση πρόσβαση σε αυτά τα αρχεία μέσω του διακομιστή web υποδηλώνει ενεργή εκμετάλλευση.
Οι ερευνητές προειδοποιούν ότι η αναβάθμιση στην έκδοση ProjectSend r1750 όσο το δυνατόν συντομότερα είναι κρίσιμης σημασίας, καθώς οι επιθέσεις είναι πιθανό να είναι ήδη ευρέως διαδεδομένες.
VIA: bleepingcomputer.com
