В выходные исследователи безопасности выпустили эксплойт для максимальной уязвимости удаленного выполнения кода в платформе обмена файлами WS_FTP Server компании Progress Software.
Исследователи компании Assetnote, обнаружившие и сообщившие о дефекте максимальной степени серьезности (CVE-2023-40044), опубликовали в субботу в блоге сообщение с PoC-эксплойтом и дополнительными техническими подробностями.
CVE-2023-40044 вызвана уязвимостью десериализации .NET в модуле Ad Hoc Transfer Module, позволяющей неаутентифицированным злоумышленникам удаленно выполнять команды на базовой операционной системе через простой HTTP-запрос.
"Данная уязвимость оказалась относительно простой и представляла собой типичную проблему десериализации .NET, приводящую к RCE. Удивительно, что эта ошибка сохраняется так долго, при этом производитель заявляет, что большинство версий WS_FTP уязвимы", - говорится в сообщении Assetnote.
"Проведя анализ WS_FTP, мы обнаружили, что в Интернете существует около 2,9 тыс. хостов, на которых работает WS_FTP (а также открыт веб-сервер, что необходимо для эксплуатации). Большинство из этих сетевых активов принадлежат крупным предприятиям, правительствам и образовательным учреждениям".
Поиск по Shodan подтверждает оценки Assetnote, показывая, что в настоящее время в Интернете доступно более 2 000 устройств с WS_FTP Server.
Эксплойт в дикой природе
В день публикации PoC-эксплойта компания Rapid7, специализирующаяся на кибербезопасности, также сообщила, что злоумышленники начали эксплуатировать CVE-2023-40044 вечером в субботу, 30 сентября.
По состоянию на 30 сентября компания Rapid7 обнаружила множество случаев эксплуатации WS_FTP в "дикой природе", - говорит Кейтлин Кондон, руководитель отдела исследований уязвимостей компании Rapid7.
Цепочка выполнения процесса выглядит одинаково во всех наблюдаемых случаях, что свидетельствует о возможной массовой эксплуатации уязвимых серверов WS_FTP".
"Кроме того, наша команда MDR заметила, что во всех инцидентах используется один и тот же домен Burpsuite, что может указывать на то, что за всеми этими действиями стоит один угрожающий субъект".
В среду, 27 сентября, компания Progress Software выпустила обновления безопасности для устранения критической уязвимости CVE-2023-40044.
"Мы устранили указанные выше уязвимости, и команда разработчиков Progress WS_FTP настоятельно рекомендует выполнить обновление", - предупреждала тогда компания Progress.
"Мы рекомендуем обновиться до самой последней версии - 8.8.2. Обновление до исправленной версии с использованием полной программы установки является единственным способом устранения данной проблемы".
Организации, которые не могут немедленно поставить заплату на свои серверы, могут предотвратить атаки, отключив уязвимый модуль передачи данных WS_FTP Server Ad Hoc Transfer Module.
В пятницу Координационный центр кибербезопасности сектора здравоохранения (HC3), группа по безопасности Министерства здравоохранения США, также предупредил все организации сектора здравоохранения и общественного здоровья о необходимости как можно скорее поставить исправления на свои серверы.
Компания Progress Software продолжает ликвидировать последствия обширной серии атак на кражу данных, в ходе которых использовалась "нулевая" уязвимость в платформе безопасной передачи файлов MOVEit Transfer, затронувшая, по оценкам Emsisoft, более 2100 организаций и более 62 млн. человек.
Обновление от 02 октября, 13:33 EDT: Представитель компании Progress после публикации статьи поделился следующим заявлением:
Мы разочарованы тем, как быстро третьи стороны выпустили концептуальный образец (POC), переделанный из нашего раскрытия уязвимости и исправления, выпущенного 27 сентября. Это позволило злоумышленникам получить "дорожную карту" по использованию уязвимости, в то время как многие наши клиенты все еще находились в процессе применения исправления. Нам не известно ни одного свидетельства того, что эти уязвимости использовались до выпуска этого патча. К сожалению, создав и выпустив POC сразу после выхода нашего патча, сторонняя компания предоставила киберпреступникам инструмент для атак на наших клиентов. Мы призываем всех заказчиков серверов WS_FTP как можно быстрее выполнить исправление своих сред.
Безопасность наших клиентов является нашим главным приоритетом, и мы продолжаем работать с нашими клиентами и ответственными сторонними экспертами для обнаружения, надлежащего раскрытия и устранения любых проблем. Мы надеемся, что сообщество воздержится от безответственной публикации POC, быстро следующих за выпуском исправлений безопасности от производителей программного обеспечения.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!