Hackers explotan falla de ProjectSend

Iniciado por AXCESS, Diciembre 01, 2024, 02:07:06 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los actores de amenazas están utilizando exploits públicos para una falla crítica de omisión de autenticación en ProjectSend para cargar webshells y obtener acceso remoto a servidores.

La falla, identificada como CVE-2024-11680, es un error de autenticación crítico que afecta a las versiones de ProjectSend anteriores a r1720, lo que permite a los atacantes enviar solicitudes HTTP especialmente diseñadas a 'options.php' para cambiar la configuración de la aplicación.

La explotación exitosa permite la creación de cuentas no autorizadas, la implantación de webshells y la incrustación de código JavaScript malicioso.

Aunque la falla se solucionó el 16 de mayo de 2023, no se le asignó un CVE hasta recién, lo que dejó a los usuarios sin saber su gravedad y la urgencia de aplicar la actualización de seguridad.

Según VulnCheck, que ha detectado una explotación activa, el ritmo de aplicación de parches ha sido abismal hasta ahora, y el 99 % de las instancias de ProjectSend siguen ejecutando una versión vulnerable.

Miles de instancias expuestas

ProjectSend es una aplicación web de código abierto para compartir archivos diseñada para facilitar transferencias de archivos privadas y seguras entre un administrador de servidor y los clientes.

Es una aplicación moderadamente popular utilizada por organizaciones que prefieren soluciones alojadas en el propio servidor en lugar de servicios de terceros como Google Drive y Dropbox.

Censys informa que hay aproximadamente 4000 instancias de ProjectSend públicas en línea, la mayoría de las cuales son vulnerables, dice VulnCheck.

En concreto, los investigadores informan de que, según los datos de Shodan, el 55 % de las instancias expuestas ejecutan la versión r1605, publicada en octubre de 2022, el 44 % utiliza una versión sin nombre de abril de 2023 y solo el 1 % utiliza la versión r1750, la versión parcheada.

VulnCheck informa de que ha visto una explotación activa de CVE-2024-11680 que va más allá de las pruebas, incluida la alteración de la configuración del sistema para permitir el registro de usuarios, la obtención de acceso no autorizado y la implementación de webshells para mantener el control sobre los servidores comprometidos.

Esta actividad aumentó desde septiembre de 2024, cuando Metasploit y Nuclei publicaron exploits públicos para CVE-2024-11680.

"VulnCheck notó que los servidores ProjectSend de acceso público habían comenzado a cambiar los títulos de sus páginas de destino por cadenas largas y aleatorias", se lee en el informe.

"Estos nombres largos y aleatorios coinciden con la forma en que tanto Nuclei como Metasploit implementan su lógica de prueba de vulnerabilidades".

"Ambas herramientas de explotación modifican el archivo de configuración de la víctima para alterar el nombre del sitio (y, por lo tanto, el título HTTP) con un valor aleatorio".

GreyNoise enumera 121 IP vinculadas a esta actividad, lo que sugiere intentos generalizados en lugar de una fuente aislada.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

VulnCheck advierte que los webshells se almacenan en el directorio 'upload/files', con nombres generados a partir de una marca de tiempo POSIX, el hash SHA1 del nombre de usuario y el nombre/extensión del archivo original.

El acceso directo a estos archivos a través del servidor web indica una explotación activa.

Los investigadores advierten que es fundamental actualizar a la versión r1750 de ProjectSend lo antes posible, ya que es probable que los ataques ya estén generalizados.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta