Move Over, MOVEit: Το σφάλμα κρίσιμης προόδου προσβάλλει το λογισμικό WS_FTP

Για δεύτερη φορά τους τελευταίους μήνες, το Progress Software απαιτεί από τις ομάδες ασφαλείας των επιχειρήσεων να εγκαταλείψουν τα πάντα και να κινηθούν γρήγορα για να προστατεύσουν τους οργανισμούς τους από κρίσιμα τρωτά σημεία στο λογισμικό μεταφοράς αρχείων — αυτή τη φορά, το προϊόν μεταφοράς αρχείων WS_FTP που χρησιμοποιείται από περίπου 40 εκατομμύρια άτομα.

Το πιο σοβαρό από τα σφάλματα επιτρέπει την εκ των προτέρων έλεγχο ταυτότητας απομακρυσμένη εκτέλεση κώδικα (RCE) χωρίς καμία αλληλεπίδραση με τον χρήστη. Επιπλέον, η ομάδα περιλαμβάνει επίσης ένα σφάλμα που είναι σχεδόν μέγιστη σοβαρότητα και έξι που είναι είτε υψηλής είτε μέτριας σοβαρότητας. 

Τα νέα για τα νέα τρωτά σημεία έρχονται ακόμη και όταν χιλιάδες πελάτες της Progress ταλαιπωρούνται από μια ευπάθεια zero-day στην τεχνολογία μεταφοράς αρχείων MOVEit που αποκάλυψε η εταιρεία στα τέλη Μαΐου. Μέχρι τώρα, περισσότεροι από 2,100 οργανισμοί έχουν πέσει θύματα επιθέσεων που αξιοποιούν το ελάττωμα, πολλές από αυτές από το Cl0p ομάδα ransomware. Τα σφάλματα που αποκαλύφθηκαν πρόσφατα θα μπορούσαν να είναι εξίσου επικίνδυνα: Επηρεάζουν όλες τις υποστηριζόμενες εκδόσεις του WS_FTP, το οποίο, όπως το MOVEit, είναι λογισμικό εταιρικής ποιότητας που χρησιμοποιούν οι οργανισμοί για να ενεργοποιήσουν ασφαλείς μεταφορές αρχείων μεταξύ συστημάτων, ομάδων, ατόμων. 

Σε μια δήλωση που εστάλη μέσω ηλεκτρονικού ταχυδρομείου στο Dark Reading, ένας εκπρόσωπος της Progress είπε ότι η εταιρεία δεν έχει δει κανένα σημάδι δραστηριότητας εκμετάλλευσης που να στοχεύει κάποιο από τα ελαττώματα, μέχρι στιγμής. 

«Έχουμε αποκαλύψει υπεύθυνα αυτά τα τρωτά σημεία σε συνεργασία με τους ερευνητές στο Assetnote», ανέφερε η δήλωση. «Προς το παρόν, δεν έχουμε δει καμία ένδειξη ότι αυτά τα τρωτά σημεία έχουν γίνει αντικείμενο εκμετάλλευσης. Έχουμε εκδώσει μια επιδιόρθωση και ενθαρρύνουμε τους πελάτες μας να πραγματοποιήσουν μια αναβάθμιση στην ενημερωμένη έκδοση του λογισμικού μας."

Ενημερώστε το WS_FTP τώρα

Το Progress έχει αποκαταστήσει τα τρωτά σημεία και έχει εκδώσει επείγουσες επιδιορθώσεις συγκεκριμένης έκδοσης για όλα τα επηρεαζόμενα προϊόντα. Η εταιρεία προτρέπει τους πελάτες της να ενημερώσουν άμεσα ή να εφαρμόσουν τα προτεινόμενα μέτρα μετριασμού. Το Progress θέλει τους οργανισμούς που χρησιμοποιούν μη υποστηριζόμενες εκδόσεις του WS_FTP να κάνουν αναβάθμιση σε υποστηριζόμενη και σταθερή έκδοση το συντομότερο δυνατό.

"Η αναβάθμιση σε μια ενημερωμένη έκδοση, χρησιμοποιώντας το πλήρες πρόγραμμα εγκατάστασης, είναι ο μόνος τρόπος για να επιλυθεί αυτό το πρόβλημα", είπε η Progress. «Θα υπάρξει διακοπή λειτουργίας του συστήματος ενώ εκτελείται η αναβάθμιση».

Συγκεκριμένα, τα τρωτά σημεία που αποκάλυψε η Progress αυτή την εβδομάδα υπάρχουν στη μονάδα Ad hoc μεταφοράς διακομιστή WS_FTP και στη διεπαφή διαχείρισης διακομιστή WS_FTP.

Η κρίσιμη ευπάθεια είναι "εύκολα εκμεταλλεύσιμη"

Η ευπάθεια μέγιστης σοβαρότητας παρακολουθείται ως CVE-2023-40044 επηρεάζει τις εκδόσεις του διακομιστή WS_FTP πριν από τις 8.7.4 και 8.8.2 και, όπως αναφέρθηκε, δίνει στους εισβολείς έναν τρόπο να αποκτήσουν RCE προ-έλεγχος ταυτότητας στα επηρεαζόμενα συστήματα. Η Progress περιέγραψε το ζήτημα ως ευπάθεια σειριοποίησης .NET — ένα κοινό είδος σφάλματος όπου μια εφαρμογή επεξεργάζεται αιτήματα ωφέλιμων φορτίων με ανασφαλή τρόπο. Τέτοια ελαττώματα μπορούν να ενεργοποιήσουν επιθέσεις άρνησης υπηρεσίας, διαρροές πληροφοριών και RCE. Η Progress πιστοποίησε δύο ερευνητές από το Assetnote ότι ανακάλυψαν τα ελαττώματα και τα ανέφεραν στην εταιρεία.

Η Caitlin Condon, επικεφαλής της έρευνας ευπάθειας στο Rapid7, λέει ότι η ερευνητική ομάδα της εταιρείας της κατάφερε να εντοπίσει την ευπάθεια και να δοκιμάσει την εκμεταλλευσιμότητα της. «[Το Rapid 7 έχει] επαληθεύσει ότι είναι εύκολα εκμεταλλεύσιμο με ένα αίτημα HTTPS POST — και ορισμένα συγκεκριμένα πολυμερή δεδομένα — σε οποιοδήποτε URI σε μια συγκεκριμένη διαδρομή. Δεν απαιτείται έλεγχος ταυτότητας και δεν απαιτείται αλληλεπίδραση με τον χρήστη», λέει ο Condon.

Σε μια ανάρτηση στο X (πρώην Twitter) στις 28 Σεπτεμβρίου, ένας από τους ερευνητές της Assetnote ανακοίνωσε τα σχέδια της εταιρείας να δημοσιεύστε μια πλήρη εγγραφή σχετικά με τα ζητήματα που ανακάλυψαν σε 30 ημέρες — ή εάν οι λεπτομέρειες του exploit γίνουν δημοσίως διαθέσιμες πριν από τότε.

Εν τω μεταξύ, το άλλο κρίσιμο σφάλμα είναι μια ευπάθεια διέλευσης καταλόγου, CVE-2023-42657, σε εκδόσεις διακομιστή WS_FTP πριν από τις 8.7.4 και 8.8.2. 

«Ένας εισβολέας θα μπορούσε να αξιοποιήσει αυτήν την ευπάθεια για να εκτελέσει λειτουργίες αρχείων (διαγραφή, μετονομασία, rmdir, mkdir) σε αρχεία και φακέλους εκτός της εξουσιοδοτημένης διαδρομής του φακέλου WS_FTP», προειδοποίησε η Progress στη συμβουλευτική της. "Οι εισβολείς θα μπορούσαν επίσης να ξεφύγουν από το πλαίσιο της δομής του αρχείου διακομιστή WS_FTP και να εκτελέσουν το ίδιο επίπεδο λειτουργιών (διαγραφή, μετονομασία, rmdir, mkdir) σε θέσεις αρχείων και φακέλων στο υποκείμενο λειτουργικό σύστημα." Το σφάλμα έχει βαθμολογία CVSS 9.9 στα 10, γεγονός που το καθιστά μια ευπάθεια σχεδόν μέγιστης σοβαρότητας. Σφάλματα διέλευσης καταλόγου, ή η διέλευση διαδρομής, είναι τρωτά σημεία που βασικά δίνουν στους εισβολείς έναν τρόπο πρόσβασης σε μη εξουσιοδοτημένα αρχεία και καταλόγους.

Πώς να αποκαλύψετε τη μεταφορά αρχείων των σφαλμάτων σε εξέλιξη

Τα άλλα ζητήματα περιλαμβάνουν δύο σφάλματα υψηλής σοβαρότητας (CVE-2023-40045 και CVE-2023-40047), τα οποία είναι ευπάθειες μεταξύ ιστότοπων scripting (XSS) που επιτρέπουν την εκτέλεση κακόβουλης JavaScript. Τα μεσαία ελαττώματα ασφαλείας περιλαμβάνουν CVE-2023-40048, ένα σφάλμα πλαστογράφησης αιτημάτων μεταξύ τοποθεσιών (CSRF). και CVE-2023-40049, ένα ζήτημα αποκάλυψης πληροφοριών, μεταξύ άλλων. 

«Το WF_FTP έχει πλούσια ιστορία και χρησιμοποιείται συνήθως μεταξύ IT και προγραμματιστών», λέει ο Timothy Morris, επικεφαλής σύμβουλος ασφαλείας στο Tanium, προσθέτοντας ότι οι οργανισμοί που διατηρούν καλό κατάλογο λογισμικού ή/και έχουν προγράμματα για την παρακολούθηση της χρήσης λογισμικού στο περιβάλλον τους θα πρέπει να έχουν σχετικά εύκολος χρόνος εντοπισμού και ενημέρωσης ευάλωτων περιπτώσεων του WS_FTP."

Και προσθέτει, «Επίσης, δεδομένου ότι οι εκδόσεις του WS_FTP που εκτελούνται συνήθως έχουν εισερχόμενες θύρες ανοιχτές για την αποδοχή αιτημάτων σύνδεσης, δεν θα ήταν δύσκολο να εντοπιστεί με τα εργαλεία παρακολούθησης δικτύου».

"Θα ξεκινούσα με εργαλεία απογραφής λογισμικού για τη σάρωση του περιβάλλοντος - εγκατεστημένη εφαρμογή, εκτέλεση υπηρεσίας - και στη συνέχεια χρησιμοποιούσα αναζητήσεις αρχείων ως δευτερεύουσα μέθοδο για να αναζητήσω και να βρω εκδόσεις του WS_FTP, σε κατάσταση ηρεμίας", λέει.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cloud/moveit-progress-critical-bug-ws_ftp-software