Pindah, MOVEit: Bug Kemajuan Kritis Menginfestasi Perangkat Lunak WS_FTP

Untuk kedua kalinya dalam beberapa bulan terakhir, Progress Software mengharuskan tim keamanan perusahaan untuk menghentikan semuanya dan bergerak cepat untuk melindungi organisasi mereka dari kerentanan kritis dalam perangkat lunak transfer file — kali ini, produk transfer file WS_FTP digunakan oleh sekitar 40 juta orang.

Bug yang paling parah memungkinkan eksekusi kode jarak jauh (RCE) yang telah diautentikasi sebelumnya tanpa interaksi pengguna apa pun. Selain itu, grup ini juga mencakup satu bug yang tingkat keparahannya mendekati maksimum dan enam bug yang tingkat keparahannya tinggi atau sedang. 

Berita tentang kerentanan baru pun muncul ribuan pelanggan Kemajuan belum pulih dari kerentanan zero-day dalam teknologi transfer file MOVEit yang diungkapkan perusahaan pada akhir bulan Mei. Sejauh ini, lebih dari 2,100 organisasi telah menjadi korban serangan yang memanfaatkan kelemahan tersebut, banyak di antaranya dilakukan oleh Grup ransomware Cl0p. Bug yang baru terungkap ini juga bisa berbahaya: Bug ini memengaruhi semua versi WS_FTP yang didukung, yang, seperti MOVEit, adalah perangkat lunak tingkat perusahaan yang digunakan organisasi untuk memungkinkan transfer file yang aman antar sistem, grup, individu. 

Dalam pernyataan melalui email kepada Dark Reading, juru bicara Progress mengatakan sejauh ini perusahaan belum melihat tanda-tanda aktivitas eksploitasi yang menargetkan kelemahan apa pun. 

“Kami telah mengungkapkan kerentanan ini secara bertanggung jawab bersama dengan para peneliti di Assetnote,” kata pernyataan itu. “Saat ini, kami belum melihat adanya indikasi bahwa kerentanan tersebut telah dieksploitasi. Kami telah mengeluarkan perbaikan dan mendorong pelanggan kami untuk melakukan peningkatan ke versi perangkat lunak kami yang ditambal.”

Tambal WS_FTP Sekarang

Progress telah memperbaiki kerentanan dan mengeluarkan perbaikan terbaru khusus versi untuk semua produk yang terpengaruh. Perusahaan mendesak pelanggannya untuk segera memperbarui atau menerapkan langkah-langkah mitigasi yang direkomendasikan; Progress menginginkan organisasi yang menggunakan versi WS_FTP yang tidak didukung untuk meningkatkan ke versi yang didukung dan diperbaiki secepatnya.

“Memperbarui ke rilis yang ditambal, menggunakan penginstal lengkap, adalah satu-satunya cara untuk mengatasi masalah ini,” kata Progress. “Akan ada gangguan pada sistem saat pemutakhiran sedang berjalan.”

Secara khusus, kerentanan yang diungkapkan Progress minggu ini terdapat di Modul Transfer Ad hoc Server WS_FTP dan di antarmuka manajer Server WS_FTP.

Kerentanan Kritis “Mudah Dieksploitasi”

Kerentanan tingkat keparahan maksimum dilacak sebagai CVE-2023-40044 mempengaruhi versi Server WS_FTP sebelum 8.7.4 dan 8.8.2, dan seperti yang disebutkan, memberi penyerang cara untuk mendapatkan RCE pra-otentikasi pada sistem yang terpengaruh. Progress menggambarkan masalah ini sebagai kerentanan serialisasi .NET — jenis bug yang umum terjadi pada aplikasi memproses muatan permintaan dengan cara yang tidak aman. Kelemahan tersebut dapat menyebabkan serangan penolakan layanan, kebocoran informasi, dan RCE. Progress memuji dua peneliti dari Assetnote yang menemukan kekurangan tersebut dan melaporkannya ke perusahaan.

Caitlin Condon, kepala penelitian kerentanan di Rapid7, mengatakan tim peneliti perusahaannya mampu mengidentifikasi kerentanan dan menguji kemampuan eksploitasinya. “[Rapid 7 telah] memverifikasi bahwa ini mudah dieksploitasi dengan permintaan HTTPS POST — dan beberapa data multibagian tertentu — ke URI mana pun di jalur tertentu. Tidak diperlukan autentikasi, dan tidak diperlukan interaksi pengguna,” kata Condon.

Dalam postingan di X (sebelumnya Twitter) pada 28 September, salah satu peneliti Assetnote mengumumkan rencana perusahaan untuk merilis tulisan lengkap mengenai masalah yang mereka temukan dalam waktu 30 hari — atau jika rincian eksploitasi tersedia untuk umum sebelum tanggal tersebut.

Sementara itu, bug kritis lainnya adalah kerentanan traversal direktori, CVE-2023-42657, di versi Server WS_FTP sebelum 8.7.4 dan 8.8.2. 

“Penyerang dapat memanfaatkan kerentanan ini untuk melakukan operasi file (menghapus, mengganti nama, rmdir, mkdir) pada file dan folder di luar jalur folder WS_FTP resmi mereka,” Progress memperingatkan dalam nasihatnya. “Penyerang juga dapat keluar dari konteks struktur file Server WS_FTP dan melakukan operasi tingkat yang sama (menghapus, mengganti nama, rmdir, mkdir) pada lokasi file dan folder di sistem operasi yang mendasarinya.” Bug ini memiliki skor CVSS 9.9 dari 10, sehingga kerentanannya mendekati tingkat keparahan maksimum. Kelemahan traversal direktori, atau path traversal, adalah kerentanan yang pada dasarnya memberikan penyerang cara untuk mengakses file dan direktori yang tidak sah.

Cara Mengungkap Bug yang Sedang Berlangsung dalam Transfer File

Masalah lainnya mencakup dua bug dengan tingkat keparahan tinggi (CVE-2023-40045 dan CVE-2023-40047), yang merupakan kerentanan skrip lintas situs (XSS) yang memungkinkan eksekusi JavaScript berbahaya. Kelemahan keamanan menengah meliputi CVE-2023-40048, bug pemalsuan permintaan lintas situs (CSRF); Dan CVE-2023-40049, masalah keterbukaan informasi, antara lain. 

“WF_FTP memiliki sejarah yang kaya dan biasanya digunakan di kalangan TI dan pengembang,” kata Timothy Morris, kepala penasihat keamanan di Tanium, menambahkan bahwa organisasi yang memelihara inventaris perangkat lunak yang baik dan/atau memiliki program untuk memantau penggunaan perangkat lunak di lingkungan mereka harus memiliki waktu yang relatif mudah untuk melacak dan memperbarui contoh WS_FTP yang rentan.”

Dia menambahkan, “Selain itu, karena versi WS_FTP yang berjalan biasanya memiliki port masuk yang terbuka untuk menerima permintaan koneksi, hal ini tidak akan sulit untuk dikenali dengan alat pemantauan jaringan.”

“Saya akan mulai dengan alat inventaris perangkat lunak untuk memindai lingkungan — aplikasi terinstal, layanan berjalan — kemudian menggunakan pencarian file sebagai metode sekunder untuk mencari dan menemukan versi WS_FTP, saat tidak digunakan,” katanya.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cloud/moveit-progress-critical-bug-ws_ftp-software