Move Over、MOVEit: 重大な進行バグが WS_FTP ソフトウェアに感染

Progress Software は、ここ数カ月で 40 回目、企業のセキュリティ チームに対し、ファイル転送ソフトウェア (今回は約 XNUMX 万人が使用している WS_FTP ファイル転送製品) の重大な脆弱性から組織を保護するために、すべてを削除して迅速に行動することを要求しています。

最も深刻なバグでは、ユーザーの介入なしで事前認証されたリモート コード実行 (RCE) が可能になります。 さらに、このグループには最大重大度に近いバグが XNUMX つと、重大度が高または中程度のバグが XNUMX つ含まれています。 

新しい脆弱性のニュースは次のようなときにも届きます。 何千もの Progress の顧客 MOVEit ファイル転送テクノロジのゼロデイ脆弱性によって動揺している 会社が明らかにしたこと XNUMX月下旬に。 これまでのところ、 2,100以上の組織 この欠陥を利用した攻撃の被害者になっていますが、その多くは Cl0p ランサムウェア グループ。 新たに明らかになったバグも同様に危険である可能性があります。WS_FTP のサポートされているすべてのバージョンに影響します。WS_FTP は、MOVEit と同様に、システム、グループ、個人の間で安全なファイル転送を可能にするために組織が使用するエンタープライズ グレードのソフトウェアです。 

Progress の広報担当者は Dark Reading に電子メールで送った声明の中で、同社はこれまでのところ、これらの欠陥を標的とした悪用活動の兆候は見られないと述べた。 

「当社はアセットノートの研究者らと協力して、責任を持ってこれらの脆弱性を開示した」と声明では述べている。 「現時点では、これらの脆弱性が悪用された形跡は確認されていません。 私たちは修正プログラムを発行し、お客様にソフトウェアのパッチ適用済みバージョンへのアップグレードを実行するよう推奨しました。」

今すぐ WS_FTP にパッチを適用してください

Progress は脆弱性を修正し、影響を受けるすべての製品に対してバージョン固有のホットフィックスを発行しました。 同社は顧客に対し、ただちにアップデートするか、推奨する緩和策を適用するよう呼びかけている。 Progress は、サポートされていないバージョンの WS_FTP を使用している組織に対しても、できるだけ早くサポートされている修正バージョンにアップグレードすることを望んでいます。

「完全なインストーラーを使用してパッチ適用済みのリリースにアップグレードすることが、この問題を修正する唯一の方法です」と Progress 氏は述べています。 「アップグレードの実行中はシステムが停止します。」

具体的には、Progress が今週明らかにした脆弱性は、WS_FTP サーバーのアドホック転送モジュールと WS_FTP サーバーのマネージャー インターフェイスに存在します。

重大な脆弱性は「簡単に悪用可能」

最大重大度の脆弱性は次のように追跡されます。 CVE-2023-40044 8.7.4 および 8.8.2 より前の WS_FTP Server バージョンに影響し、前述したように、影響を受けるシステムで事前認証 RCE を取得する方法を攻撃者に与えます。 Progress は、この問題を .NET シリアル化の脆弱性として説明しました。これは、アプリが実行される一般的な種類のバグです。 リクエストのペイロードを処理する 不安定な方法で。 このような欠陥により、サービス妨害攻撃、情報漏洩、RCE が発生する可能性があります。 Progress は、Assetnote の XNUMX 人の研究者が欠陥を発見し、同社に報告したと認めています。

Rapid7 の脆弱性研究責任者である Caitlin Condon 氏は、同社の研究チームが脆弱性を特定し、その悪用可能性をテストすることができたと述べています。 「[Rapid 7は]、特定のパスにある任意のURIに対するHTTPS POSTリクエストと特定のマルチパートデータを使用して簡単に悪用できることを確認しました。 認証もユーザーの操作も必要ありません」とコンドン氏は言います。

28月XNUMX日のX（旧Twitter）への投稿で、Assetnote研究者のXNUMX人が同社の計画を発表した。 完全な記事を公開する 30 日以内に発見された問題について、またはその前にエクスプロイトの詳細が公開された場合。

一方、もう XNUMX つの重大なバグはディレクトリ トラバーサルの脆弱性です。 CVE-2023-42657、 WS_FTP サーバーのバージョン 8.7.4 および 8.8.2 より前の場合。 

「攻撃者はこの脆弱性を悪用して、許可された WS_FTP フォルダ パスの外にあるファイルやフォルダに対してファイル操作 (削除、名前変更、rmdir、mkdir) を実行する可能性がある」と Progress はアドバイザリーで警告している。 「攻撃者は、WS_FTP サーバーのファイル構造のコンテキストをエスケープし、基盤となるオペレーティング システム上のファイルとフォルダーの場所に対して同じレベルの操作 (削除、名前変更、rmdir、mkdir) を実行する可能性もあります。」 このバグの CVSS スコアは 9.9 点中 10 で、重大度は最大に近い脆弱性です。 ディレクトリトラバーサルの欠陥、またはパス トラバーサルは、基本的に攻撃者に未承認のファイルやディレクトリにアクセスする方法を与える脆弱性です。

進行中のファイル転送のバグを発見する方法

他の問題には XNUMX つの重大度の高いバグが含まれます (CVE-2023-40045 および CVE-2023-40047）、これは、悪意のある JavaScript の実行を可能にするクロスサイト スクリプティング (XSS) の脆弱性です。 中程度のセキュリティ上の欠陥には次のものがあります。 CVE-2023-40048、クロスサイト リクエスト フォージェリ (CSRF) のバグ。 そして CVE-2023-40049、情報開示の問題など。 

「WF_FTP には豊富な歴史があり、通常は IT 部門や開発者の間で使用されています」と、Tanium のチーフ セキュリティ アドバイザーである Timothy Morris 氏は述べ、適切なソフトウェア インベントリを維持している組織や、環境内でのソフトウェアの使用を監視するプログラムを備えている組織は、 WS_FTP の脆弱なインスタンスを追跡して更新するのは比較的簡単です。」

「また、WS_FTP の実行バージョンでは通常、接続要求を受け入れるために受信ポートが開いているため、ネットワーク監視ツールで発見するのは難しくありません。」と彼は付け加えました。

「私はまず、ソフトウェア インベントリ ツールを使用して環境 (インストールされているアプリ、実行中のサービス) をスキャンし、次に XNUMX 番目の方法としてファイル検索を使用して、保存されている WS_FTP のバージョンを検索して見つけます」と彼は言います。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cloud/moveit-progress-critical-bug-ws_ftp-software