Το Σαββατοκύριακο, οι ερευνητές ασφαλείας κυκλοφόρησαν ένα exploit απόδειξης της ιδέας (PoC) για μια ευπάθεια μέγιστης σοβαρότητας απομακρυσμένης εκτέλεσης κώδικα στην πλατφόρμα κοινής χρήσης αρχείων WS_FTP Server του Progress Software.
Ερευνητές Assetnote που ανακάλυψαν και ανέφεραν το ελάττωμα μέγιστης σοβαρότητας (
CVE-2023-40044
) δημοσίευσε μια ανάρτηση ιστολογίου με εκμετάλλευση PoC και πρόσθετες τεχνικές λεπτομέρειες το Σάββατο.
Το CVE-2023-40044 προκαλείται από μια ευπάθεια deserialization .NET στη μονάδα Ad Hoc Transfer Module, η οποία επιτρέπει στους εισβολείς να εκτελούν εξ αποστάσεως εντολές στο υποκείμενο λειτουργικό σύστημα μέσω ενός απλού αιτήματος HTTP.
“Αυτή η ευπάθεια αποδείχθηκε ότι ήταν σχετικά απλή και αντιπροσώπευε ένα τυπικό ζήτημα αφαίρεσης .NET που οδήγησε στο RCE. Είναι εκπληκτικό το γεγονός ότι αυτό το σφάλμα παρέμεινε ζωντανό για τόσο μεγάλο χρονικό διάστημα, με τον προμηθευτή να δηλώνει ότι οι περισσότερες εκδόσεις του WS_FTP είναι ευάλωτες,” Assetnote
είπε
.
“Από την ανάλυσή μας για το WS_FTP, διαπιστώσαμε ότι υπάρχουν περίπου 2,9 χιλιάδες κεντρικοί υπολογιστές στο διαδίκτυο που εκτελούν WS_FTP (και έχουν επίσης εκτεθειμένο τον διακομιστή ιστού τους, ο οποίος είναι απαραίτητος για εκμετάλλευση). Τα περισσότερα από αυτά τα διαδικτυακά περιουσιακά στοιχεία ανήκουν σε μεγάλες
επιχειρήσεις
, κυβερνήσεις και Εκπαιδευτικά ιδρύματα.”
Μια αναζήτηση στο Shodan επιβεβαιώνει τις εκτιμήσεις της Assetnote, δείχνοντας αυτό
περισσότερες από 2.000 συσκευές
Ο διακομιστής WS_FTP που εκτελείται είναι προσβάσιμος επί του παρόντος μέσω Διαδικτύου.
Παρουσίες διακομιστή WS_FTP εκτίθενται στο διαδίκτυο (Shodan)
Εκμεταλλεύονται στην άγρια φύση
Την ημέρα που κυκλοφόρησε το PoC exploit, η εταιρεία κυβερνοασφάλειας Rapid7 αποκάλυψε επίσης ότι οι εισβολείς άρχισαν να εκμεταλλεύονται το CVE-2023-40044 το βράδυ του Σαββάτου, 30 Σεπτεμβρίου.
“Από τις 30 Σεπτεμβρίου, το Rapid7 έχει παρατηρήσει πολλαπλές περιπτώσεις εκμετάλλευσης του WS_FTP στη φύση.”
είπε
Caitlin Condon, Επικεφαλής
Έρευνα
ς Ευπάθειας στο Rapid7.
“Η αλυσίδα εκτέλεσης της διαδικασίας φαίνεται η ίδια σε όλες τις παρατηρούμενες περιπτώσεις, υποδεικνύοντας πιθανή μαζική εκμετάλλευση ευάλωτων διακομιστών WS_FTP.
“
Επιπλέον
, η ομάδα μας MDR παρατήρησε τον ίδιο τομέα Burpsuite που χρησιμοποιείται σε όλα τα περιστατικά, γεγονός που μπορεί να υποδεικνύει έναν μεμονωμένο παράγοντα απειλής πίσω από τη δραστηριότητα που έχουμε δει.”
Το Progress Software κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση της κρίσιμης ευπάθειας CVE-2023-40044 την Τετάρτη 27 Σεπτεμβρίου.
“Έχουμε αντιμετωπίσει τα τρωτά σημεία παραπάνω και η ομάδα του Progress WS_FTP συνιστά ανεπιφύλακτα την εκτέλεση αναβάθμισης”, προειδοποίησε η Progress εκείνη τη στιγμή.
“Συνιστούμε την αναβάθμιση στην υψηλότερη έκδοση που είναι η 8.8.2. Η αναβάθμιση σε μια ενημερωμένη έκδοση, χρησιμοποιώντας το πλήρες πρόγραμμα εγκατάστασης, είναι ο μόνος τρόπος για να διορθώσετε αυτό το πρόβλημα.
Οι οργανισμοί που δεν μπορούν να επιδιορθώσουν αμέσως τους διακομιστές τους μπορούν ακόμα να αποτρέψουν τις εισερχόμενες επιθέσεις
απενεργοποίηση της ευάλωτης μονάδας μεταφοράς Ad Hoc διακομιστή WS_FTP
.
Την Παρασκευή, το Κέντρο Συντονισμού Κυβερνοασφάλειας του Τομέα Υγείας (HC3), η ομάδα ασφαλείας του Υπουργείου Υγείας των ΗΠΑ, επίσης
προειδοποίησε
όλοι οι οργανισμοί του τομέα Υγείας και Δημόσιας Υγείας να επιδιορθώσουν τους διακομιστές τους το συντομότερο δυνατό.
Το Progress Software εξακολουθεί να αντιμετωπίζει τις συνέπειες μιας εκτεταμένης σειράς επιθέσεων κλοπής δεδομένων που εκμεταλλεύτηκαν ένα zero-day στην ασφαλή πλατφόρμα μεταφοράς αρχείων MOVEit Transfer και επηρέασαν περισσότερους από 2.100 οργανισμούς και πάνω από 62 εκατομμύρια άτομα, σύμφωνα με
Εκτιμήσεις της Emsisoft
.
Ενημέρωση 02 Οκτωβρίου, 13:33 EDT:
Ένας εκπρόσωπος της Progress μοιράστηκε την ακόλουθη δήλωση μετά τη δημοσίευση του άρθρου:
Είμαστε απογοητευμένοι από το πόσο γρήγορα τρίτα μέρη κυκλοφόρησαν μια απόδειξη της ιδέας (POC), με αντίστροφη μηχανική από την
αποκάλυψη
ευπάθειας και την
ενημέρωση
κώδικα, που κυκλοφόρησε στις 27 Σεπτεμβρίου. Αυτό παρείχε στους φορείς απειλών έναν οδικό χάρτη για το πώς να εκμεταλλευτούν τα τρωτά σημεία, ενώ πολλοί από τους πελάτες μας ήταν ακόμη στη διαδικασία εφαρμογής του ενημερωτικού κώδικα.Δεν γνωρίζουμε κανένα στοιχείο που να αποδεικνύει ότι αυτά τα τρωτά σημεία είχαν γίνει αντικείμενο εκμετάλλευσης πριν από αυτήν την κυκλοφορία. Δυστυχώς, με τη δημιουργία και την κυκλοφορία ενός POC γρήγορα μετά την κυκλοφορία της ενημέρωσης κώδικα, ένα τρίτο μέρος έδωσε στους εγκληματίες του κυβερνοχώρου ένα εργαλείο για να επιχειρήσουν επιθέσεις κατά των πελατών μας. Ενθαρρύνουμε όλους τους πελάτες διακομιστή WS_FTP να επιδιορθώσουν το περιβάλλον τους όσο το δυνατόν γρηγορότερα.
Η ασφάλεια των πελατών μας είναι η κορυφαία προτεραιότητά μας και συνεχίζουμε να εργαζόμαστε με τους πελάτες μας και τους υπεύθυνους εμπειρογνώμονες έρευνας τρίτων για να ανακαλύψουμε, να αποκαλύψουμε σωστά και να επιλύσουμε τυχόν προβλήματα. Ελπίζουμε ότι η κοινότητα θα αποθαρρύνει την ανεύθυνη δημοσίευση των POC γρήγορα μετά την κυκλοφορία των ενημερώσεων κώδικα ασφαλείας από προμηθευτές λογισμικού.
