На прошлой неделе компания Progress Software, разработчик платформы для обмена файлами MOVEit Transfer, которая недавно использовалась в массовых атаках (последствия которых затронули более 2100 организаций и 62 млн человек), предупредила клиентов о новой опасной уязвимости в своем продукте WS_FTP Server. Так как для этого бага уже появился PoC-эксплоит, разработчики говорят, что «разочарованы» действиями исследователей, которые его создали.
Уязвимости WS_FTP Server
Официальный сайт Progress Software сообщает, что тысячи ИТ-команд по всему миру используют WS_FTP, ведь это инструмент для безопасной передачи файлов корпоративного уровня. Однако на прошлой неделе компания сообщила, что исправила в WS_FTP Server множество уязвимостей, затрагивающих его интерфейс и модуль Ad hoc Transfer.
Сразу две из этих уязвимостей получили статус критических, причем одна из них (CVE-2023-40044), удостоилась и максимально возможной оценки по шкале CVSS 3.1 — 10 баллов из 10 возможных. Этот баг затрагивает WS_FTP Server версий до 8.7.4 и 8.8.2, позволяя неаутентифицированным злоумышленникам выполнять удаленные команды в случае успешной эксплуатации уязвимости десериализации .NET в модуле Ad Hoc Transfer.
Другая критическая ошибка (CVE-2023-42657; 9,9 балла по шкале CVSS) представляет собой уязвимость обхода каталога, позволяющую злоумышленникам выполнять файловые операции за пределами разрешенного пути к папке WS_FTP.
«Также злоумышленники могут выйти из контекста файловой структуры WS_FTP Server и выполнить операции того же уровня (delete, rename, rmdir, mkdir) над файлами и папками в базовой операционной системе», — предупреждали в Progress Software.
Также подчеркивалось, что эти критические проблемы могут использоваться без взаимодействия с пользователем и не потребуют от злоумышленников глубоких технических познаний.
Разработчики призывали клиентов как можно скорее обновить WS_FTP Server до версии 8.8.2, в которой уязвимости были устранены. Также была опубликована инструкция по отключению уязвимого модуля Ad Hoc Transfer, если тот не используется.
Эксплоит и атаки
В минувшие выходные специалисты компании Assetnote, исходно обнаружившие критическую уязвимость CVE-2023-40044, обнародовали в своем блоге технические подробности об этой проблеме, а также рассказали о создании PoC-эксплоита для нее. После этого информация об эксплоите начала быстро распространяться в социальных сетях.
«Эта уязвимость оказалась относительно простой и представляет собой типичную проблему десериализации .NET, которая приводит к RCE. Удивительно, что эта ошибка сохранялась [в коде] так долго, поскольку производитель заявил, что большинство версий WS_FTP уязвимы, — рассказали исследователи. — В результате нашего анализа WS_FTP мы обнаружили, что в интернете насчитывается около 2900 хостов, использующих WS_FTP (также они имеют открытый веб-сервер, что необходимо для эксплуатации). Большинство этих систем принадлежат крупным предприятиям, правительствам и образовательным учреждениям».
Вскоре компания Rapid7 предупредила, что злоумышленники начали эксплуатировать CVE-2023-40044 практически одновременно с публикацией отчета Assetnote. Пока эксперты полагают, что за всеми атаками стоят одни и те же хакеры, так как «цепочка выполнения процессов» одинакова во всех обнаруженных случаях, а также в атаках использовался один и тот же домен Burpsuite.
Известный ИБ-эксперт Кевин Бомонт и вовсе пишет, что неназванная организация, на днях пострадавшая от атаки программы-вымогателя, сообщила ему, злоумышленники проникли в сеть именно через WS_FTP.
Представители Progress Software сообщили СМИ, что разочарованы происходящим и не ожидали, что PoC-эксплоит для критической проблемы появится так скоро.
Известный ИБ-эксперт Кевин Бомонт и вовсе пишет, что неназванная организация, на днях пострадавшая от атаки программы-вымогателя, сообщила ему, злоумышленники проникли в сеть именно через WS_FTP.
Представители Progress Software сообщили СМИ, что разочарованы происходящим и не ожидали, что PoC-эксплоит для критической проблемы появится так скоро.
«Мы разочарованы тем, как быстро третьи лица выпустили proof of concept (PoC), осуществив реверс-инжиниринг на основе нашего отчета и патча, выпущенного 27 сентября. Это позволило злоумышленникам получить "дорожную карту" по эксплуатации уязвимостей, пока многие наши клиенты еще находились в процессе применения исправлений.
У нас нет ни одного свидетельства того, что эти уязвимости использовались до выхода патча. К сожалению, создав и выпустив PoC сразу после релиза нашего исправления, сторонняя компания предоставила киберпреступникам инструмент для атак на наших клиентов. Мы призываем всех клиентов WS_FTP Server как можно скорее выполнить обновление своих сред.
Безопасность клиентов является нашим главным приоритетом, и мы продолжаем работать с нашими клиентами и ответственными сторонними экспертами для обнаружения, надлежащего раскрытия и устранения любых проблем. Мы надеемся, что сообщество воздержится от безответственной публикации PoC сразу же после выпуска исправлений от производителей ПО», — заявили в компании.
Источник: Хакер