בפעם השנייה בחודשים האחרונים, Progress Software דורשת מצוותי אבטחה ארגוניים לבטל הכל ולנוע במהירות כדי להגן על הארגונים שלהם מפני פגיעויות קריטיות בתוכנת העברת הקבצים שלה - הפעם, מוצר העברת הקבצים WS_FTP בשימוש על ידי כ-40 מיליון אנשים.
החמור ביותר מבין הבאגים מאפשר ביצוע קוד מרחוק מאומת מראש (RCE) ללא כל אינטראקציה של המשתמש. בנוסף, הקבוצה כוללת גם באג שנמצא קרוב לדרגת החומרה המרבית ושישה שהם בדרגת חומרה גבוהה או בינונית.
חדשות על נקודות התורפה החדשות מגיעות אפילו כמו אלפי לקוחות פרוגרס נרתעים מפגיעות של יום אפס בטכנולוגיית העברת הקבצים שלה MOVEit שהחברה חשפה בסוף מאי. עד כה, יותר מ -2,100 ארגונים נפלו קורבן להתקפות הממנפות את הפגם, רבים מהם על ידי קבוצת Cl0p כופר. הבאגים החדשים שנחשפו עלולים להיות מסוכנים באופן דומה: הם משפיעים על כל הגרסאות הנתמכות של WS_FTP, אשר, כמו MOVEit, היא תוכנה ברמה ארגונית שבה משתמשים ארגונים כדי לאפשר העברות קבצים מאובטחות בין מערכות, קבוצות, יחידים.
בהצהרה שנשלחה בדוא"ל לדארק רידינג, דובר מ-Progress אמר שהחברה לא ראתה סימנים לפעילות ניצול המכוונת לאף אחד מהפגמים, עד כה.
"חשפנו באחריות את הפגיעות הללו בשיתוף עם החוקרים ב-Assetnote", נאמר בהצהרה. "נכון לעכשיו, לא ראינו שום אינדיקציה לכך שפגיעויות אלה נוצלו. הוצאתנו תיקון ועודדנו את הלקוחות שלנו לבצע שדרוג לגרסת התוכנה שלנו".
תקן את WS_FTP עכשיו
התקדמות תיקנה את הפגיעויות והנפיקה תיקונים חמים ספציפיים לגרסה עבור כל המוצרים המושפעים. החברה קוראת ללקוחותיה לעדכן באופן מיידי או ליישם את צעדי ההפחתה המומלצים; פרוגרס רוצה שארגונים שמשתמשים בגרסאות לא נתמכות של WS_FTP ישדרגו גם לגרסה נתמכת וקבועה בהקדם האפשרי.
"שדרוג לגרסה מתוקנת, באמצעות תוכנית ההתקנה המלאה, היא הדרך היחידה לתקן בעיה זו", אמר פרוגרס. "תהיה הפסקה למערכת בזמן שהשדרוג פועל."
באופן ספציפי, הפגיעויות ש-Progress חשפה השבוע קיימות במודול העברת אד-הוק של שרת WS_FTP ובממשק מנהל שרת WS_FTP.
פגיעות קריטית היא "ניתנת לניצול בקלות"
פגיעות החומרה המקסימלית שאחריה CVE-2023-40044 משפיע על גרסאות WS_FTP Server לפני 8.7.4 ו-8.8.2, וכאמור נותן לתוקפים דרך להשיג RCE של אימות מראש במערכות מושפעות. התקדמות תיארה את הבעיה כפגיעות בסריאליזציה של .NET - סוג נפוץ של באג באפליקציה תהליכי בקשה למטענים בצורה לא בטוחה. פגמים כאלה יכולים לאפשר התקפות של מניעת שירות, דליפות מידע ו-RCE. פרוגרס זיכה שני חוקרים מ-Assetnote כמי שגילו את הפגמים ודיווחו על כך לחברה.
קייטלין קונדון, ראש חקר פגיעות ב-Rapid7, אומרת שצוות המחקר של החברה שלה הצליח לזהות את הפגיעות ולבדוק את יכולת הניצול שלה. "[Rapid 7] אימתה שניתן לנצל אותו בקלות עם בקשת HTTPS POST - וכמה נתונים מרובי חלקים ספציפיים - לכל URI בנתיב ספציפי. אין צורך באימות, ואין צורך באינטראקציה עם המשתמש", אומר קונדון.
בפוסט ב-X (לשעבר טוויטר) ב-28 בספטמבר, אחד מחוקרי Assetnote הודיע על תוכניות החברה לשחרר כתבה מלאה על הבעיות שגילו תוך 30 יום - או אם פרטי הניצול יהיו זמינים לציבור לפני כן.
בינתיים, הבאג הקריטי הנוסף הוא פגיעות של מעבר ספריות, CVE-2023-42657, בגרסאות WS_FTP Server לפני 8.7.4 ו-8.8.2.
"תוקף יכול למנף את הפגיעות הזו כדי לבצע פעולות קבצים (מחיקה, שינוי שם, rmdir, mkdir) בקבצים ותיקיות מחוץ לנתיב התיקייה המורשה שלהם WS_FTP", הזהירה פרוגרס בייעוץ שלה. "התוקפים יכולים גם לברוח מההקשר של מבנה הקבצים של WS_FTP Server ולבצע את אותה רמת פעולות (מחיקה, שינוי שם, rmdir, mkdir) על מיקומי קבצים ותיקיות במערכת ההפעלה הבסיסית." לבאג יש ציון CVSS של 9.9 מתוך 10, מה שהופך אותו לפגיעות כמעט מקסימלית בחומרה. פגמים במעבר ספריות, או חציית נתיב, הן נקודות תורפה שבעצם נותנות לתוקפים דרך לגשת לקבצים וספריות לא מורשים.
כיצד לחשוף את הבאגים בתהליך העברת הקבצים
הבעיות האחרות כוללות שני באגים בדרגת חומרה גבוהה (CVE-2023-40045 ו CVE-2023-40047), שהן פגיעות סקריפטים חוצה אתרים (XSS) המאפשרות ביצוע של JavaScript זדוני. פגמי האבטחה הבינוניים כוללים CVE-2023-40048, באג זיוף בקשות חוצה אתרים (CSRF); ו CVE-2023-40049, סוגיית חשיפת מידע, בין היתר.
"ל-WF_FTP יש היסטוריה עשירה ובדרך כלל נעשה בו שימוש בקרב IT ומפתחים", אומר טימותי מוריס, יועץ אבטחה ראשי ב-Tanium, ומוסיף כי לארגונים שמחזיקים מלאי תוכנה טוב ו/או שיש להם תוכניות לניטור השימוש בתוכנה בסביבתם, צריכים להיות זמן קל יחסית לאתר ולעדכן מופעים פגיעים של WS_FTP."
הוא מוסיף, "כמו כן, מכיוון שלגרסאות הפעלה של WS_FTP יש בדרך כלל יציאות נכנסות פתוחות לקבלת בקשות חיבור, לא יהיה קשה לזהות את זה עם כלי ניטור רשת."
"הייתי מתחיל עם כלי מלאי תוכנה כדי לסרוק את הסביבה - אפליקציה מותקנת, שירות פועל - ואז משתמש בחיפושי קבצים כשיטה משנית לחיפוש ולמצוא גרסאות של WS_FTP, במצב מנוחה", הוא אומר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cloud/moveit-progress-critical-bug-ws_ftp-software
- :יש ל
- :הוא
- :לֹא
- :איפה
- 10
- 100
- 28
- 30
- 40
- 7
- 8
- 9
- a
- יכול
- לְקַבֵּל
- גישה
- פעילות
- Ad
- מוסיף
- תוספת
- מוסיף
- יועץ
- ייעוץ
- להשפיע על
- נגד
- תעשיות
- מאפשר
- גם
- בין
- an
- ו
- הודיע
- כל
- האפליקציה
- החל
- ARE
- AS
- At
- המתקפות
- אימות
- מורשה
- זמין
- בעיקרון
- BE
- להיות
- היה
- לפני
- בֵּין
- חרק
- באגים
- by
- CAN
- רֹאשׁ
- קוד
- מגיע
- Common
- חברה
- יחד
- הקשר
- הקשר
- יכול
- קריטי
- כיום
- לקוחות
- Cve
- מסוכן
- כהה
- קריאה אפלה
- נתונים
- ימים
- מְתוּאָר
- פרטים
- מפתחים
- קשה
- ספריות
- חשיפה
- גילה
- מגלה
- מטה
- ירידה
- בקלות
- קל
- או
- Emsisoft
- לאפשר
- עודד
- מִפְעָל
- אבטחה ארגונית
- כיתה ארגונית
- סביבה
- לברוח
- אֲפִילוּ
- הכל
- הוצאת להורג
- לנצל
- ומנוצל
- נָפוּל
- רחוק
- שלח
- קבצים
- לסדר
- קבוע
- פגם
- פגמים
- בעד
- לשעבר
- החל מ-
- מלא
- לְהַשִׂיג
- לתת
- נותן
- טוב
- קְבוּצָה
- קבוצה
- יש
- he
- ראש
- לה
- גָבוֹהַ
- היסטוריה
- HTTPS
- i
- זהות
- if
- מיד
- in
- לכלול
- כולל
- נכנס
- סִימָן
- אנשים
- מידע
- לא בטוח
- מותקן
- אינטראקציה
- מִמְשָׁק
- מלאי
- סוגיה
- הפיקו
- בעיות
- IT
- שֶׁלָה
- JavaScript
- jpg
- סוג
- מְאוּחָר
- דליפות
- רמה
- תנופה
- מינוף
- כמו
- מקומות
- לתחזק
- עשייה
- מנהל
- דרך
- רב
- מקסימום
- מאי..
- בינוני
- שיטה
- מיקרוסופט
- מִילִיוֹן
- הֲקָלָה
- מודול
- צג
- ניטור
- חודשים
- רוב
- המהלך
- ליד
- נטו
- רשת
- חדש
- חדש
- לא
- of
- on
- ONE
- רק
- לפתוח
- פועל
- מערכת הפעלה
- תפעול
- or
- ארגונים
- אחר
- אחרים
- שלנו
- הַחוּצָה
- הפסקת
- בחוץ
- יותר
- נתיב
- אֲנָשִׁים
- לְבַצֵעַ
- תוכניות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- הודעה
- להציג
- קודם
- המוצר
- מוצרים
- תוכניות
- התקדמות
- להגן
- בפומבי
- מהירות
- ransomware
- מהיר
- קריאה
- לאחרונה
- מוּמלָץ
- יחסית
- לשחרר
- מרחוק
- דווח
- לבקש
- בקשות
- נדרש
- מחקר
- חוקרים
- REST
- עשיר
- ריצה
- s
- אמר
- אותו
- אומר
- סריקה
- ציון
- חיפוש
- חיפושים
- שְׁנִיָה
- משני
- לבטח
- אבטחה
- לראות
- שבע
- שרת
- שרות
- קשה
- צריך
- שלטים
- באופן דומה
- since
- שישה
- So
- עד כה
- תוכנה
- כמה
- ספציפי
- מסחרי
- התחלה
- הצהרה
- צעדים
- מִבְנֶה
- כזה
- נתמך
- מערכת
- מערכות
- מיקוד
- נבחרת
- צוותי
- טכנולוגיה
- מבחן
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אז
- שם.
- אלה
- הֵם
- זֶה
- השבוע
- זמן
- ל
- כלים
- מעקב
- להעביר
- העברות
- שתיים
- בדרך כלל
- לא מורשה
- לגלות
- תחת
- בְּסִיסִי
- עדכון
- עדכון
- שדרוג
- דוחק
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- באמצעות
- מְאוּמָת
- גרסה
- גירסאות
- קרבן
- פגיעויות
- פגיעות
- פגיע
- רוצה
- היה
- דֶרֶך..
- we
- שבוע
- טוֹב
- אשר
- בזמן
- יצטרך
- עם
- לְלֹא
- לא
- X
- XSS
- זפירנט