Liigu üle, MOVEit: kriitiline edusammuviga nakatab WS_FTP tarkvara

Teist korda viimaste kuude jooksul nõuab Progress Software ettevõtete turvameeskondadelt, et nad kõik loobuksid ja tegutseksid kiiresti, et kaitsta oma organisatsioone oma failiedastustarkvara kriitiliste haavatavuste eest – seekord on WS_FTP failiedastustoode, mida kasutab umbes 40 miljonit inimest.

Kõige tõsisemad vead võimaldavad eelautentitud koodi kaugkäivitamist (RCE) ilma kasutaja sekkumiseta. Lisaks on rühmas ka viga, mis on peaaegu maksimaalse raskusastmega, ja kuus, mis on kas kõrge või keskmise raskusastmega. 

Uudised uutest haavatavustest tulevad isegi kui tuhandeid Progressi kliente on oma MOVEiti failiedastustehnoloogia nullpäeva haavatavusest lahti mille ettevõte avalikustas mai lõpus. Nii kaugel, rohkem kui 2,100 organisatsiooni on langenud viga võimendavate rünnakute ohvriks, paljud neist Cl0p lunavara grupp. Äsja avalikustatud vead võivad olla sama ohtlikud: need mõjutavad kõiki WS_FTP toetatud versioone, mis, nagu MOVEit, on ettevõtte tasemel tarkvara, mida organisatsioonid kasutavad turvalise failiedastuse võimaldamiseks süsteemide, rühmade ja üksikisikute vahel. 

Ajakirjale Dark Reading saadetud e-kirjas ütles Progressi pressiesindaja, et ettevõte pole seni näinud märke kuritarvitamisest, mis oleks suunatud ühelegi puudusele. 

"Oleme need haavatavused vastutustundlikult avalikustanud koos Assetnote'i teadlastega," seisis avalduses. "Praegu ei ole me näinud ühtegi viidet sellele, et neid haavatavusi oleks ära kasutatud. Oleme välja andnud paranduse ja julgustanud kliente uuendama meie tarkvara paigatud versiooni.

Paigutage WS_FTP kohe

Progress on haavatavused kõrvaldanud ja kõigi mõjutatud toodete jaoks välja andnud versioonipõhised kiirparandused. Ettevõte kutsub oma kliente üles viivitamatult värskendama või rakendama soovitatud leevendusmeetmeid; Progress soovib, et organisatsioonid, mis kasutavad WS_FTP toetamata versioone, viiksid samuti võimalikult kiiresti üle toetatud ja fikseeritud versioonile.

"Ainus viis selle probleemi lahendamiseks on täiendamine paigatud versioonile, kasutades täielikku installiprogrammi, " ütles Progress. "Uuenduse töötamise ajal tekib süsteemis katkestus."

Täpsemalt on haavatavused, mille Progress sel nädalal avalikustas, WS_FTP serveri ad hoc edastusmoodulis ja WS_FTP serverihalduri liideses.

Kriitiline haavatavus on "kergesti kasutatav"

Maksimaalse raskusastmega haavatavus, mida jälgitakse kui CVE-2023-40044 mõjutab WS_FTP serveri versioone, mis on vanemad kui 8.7.4 ja 8.8.2, ning nagu mainitud, annab ründajatele võimaluse saada mõjutatud süsteemides eelautentimise RCE. Progress kirjeldas probleemi kui .NET-i serialiseerimise haavatavust – levinud viga, kui rakendus töötleb kasulikke koormusi ebakindlal viisil. Sellised vead võivad võimaldada teenuse keelamise rünnakuid, teabelekkeid ja RCE-d. Progress tunnustas kahte Assetnote'i teadlast, kes avastasid puudused ja teatasid sellest ettevõttele.

Rapid7 haavatavuse uurimise juht Caitlin Condon ütleb, et tema ettevõtte uurimisrühm suutis haavatavuse tuvastada ja selle kasutatavust testida. „[Rapid 7 on] kinnitanud, et seda saab hõlpsasti kasutada HTTPS POST-i päringu ja teatud mitmeosaliste andmetega mis tahes URI-le konkreetsel teel. Autentimist pole vaja ega kasutaja sekkumist vaja, ”ütleb Condon.

28. septembril X (endine Twitter) tehtud postituses teatas üks Assetnote’i uurijatest ettevõtte plaanidest avaldage täielik ülevaade probleemide kohta, mille nad avastasid 30 päeva jooksul – või kui ärakasutamise üksikasjad muutuvad enne seda avalikuks.

Samal ajal on teine ​​kriitiline viga kataloogi läbimise haavatavus, CVE-2023-42657, WS_FTP serveri versioonides enne 8.7.4 ja 8.8.2. 

"Ründaja võib seda haavatavust ära kasutada, et teha failitoiminguid (kustutamine, ümbernimetamine, rmdir, mkdir) failidega ja kaustadega väljaspool nende volitatud WS_FTP kaustateed," hoiatas Progress oma nõuandes. "Samuti võivad ründajad põgeneda WS_FTP-serveri failistruktuuri kontekstist ja teha sama taseme toiminguid (kustutamine, ümbernimetamine, rmdir, mkdir) aluseks oleva operatsioonisüsteemi failide ja kaustade asukohtades." Vea CVSS-i skoor on 9.9 punkti 10-st, mistõttu on see peaaegu maksimaalse raskusastmega haavatavus. Kataloogi läbimise vead, ehk tee läbimine, on haavatavused, mis põhimõtteliselt annavad ründajatele võimaluse pääseda juurde volitamata failidele ja kataloogidele.

Kuidas avastada failiedastuse käigus olevaid vigu

Muude probleemide hulka kuuluvad kaks väga tõsist viga (CVE-2023-40045 ja CVE-2023-40047), mis on saidiülese skriptimise (XSS) haavatavused, mis võimaldavad käivitada pahatahtlikku JavaScripti. Keskmised turvapuudused hõlmavad CVE-2023-40048, saidiülese päringu võltsimise (CSRF) viga; ja CVE-2023-40049, muu hulgas teabe avalikustamise probleem. 

"WF_FTP-l on rikas ajalugu ja seda kasutatakse tavaliselt IT ja arendajate seas," ütleb Taniumi peaturvanõustaja Timothy Morris, lisades, et organisatsioonidel, mis hoiavad head tarkvaravaru ja/või omavad programme oma keskkonnas tarkvara kasutamise jälgimiseks, peaksid olema WS_FTP haavatavate eksemplaride leidmine ja värskendamine on suhteliselt lihtne.

Ta lisab: "Samuti, kuna WS_FTP töötavatel versioonidel on tavaliselt ühendusetaotluste vastuvõtmiseks avatud sissetulevad pordid, poleks võrgu jälgimise tööriistade abil raske seda tuvastada."

"Alustaksin tarkvara inventuuritööriistadega, et skannida keskkonda – installitud rakendus, teenus töötab – ja seejärel kasutada failiotsingut teise meetodina WS_FTP versioonide otsimiseks ja leidmiseks puhkeolekus, " ütleb ta.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cloud/moveit-progress-critical-bug-ws_ftp-software