Move Over, MOVEit: 심각한 진행 버그로 인해 WS_FTP 소프트웨어가 감염됨

최근 몇 달 동안 두 번째로 Progress Software는 기업 보안 팀에 파일 전송 소프트웨어(이번에는 약 40천만 명이 사용하는 WS_FTP 파일 전송 제품)의 심각한 취약점으로부터 조직을 보호하기 위해 모든 것을 삭제하고 신속하게 조치를 취할 것을 요구했습니다.

가장 심각한 버그는 사용자 개입 없이 사전 인증된 원격 코드 실행(RCE)을 허용합니다. 또한 이 그룹에는 최대 심각도에 가까운 버그 XNUMX개와 심각도가 높거나 중간인 버그 XNUMX개가 포함되어 있습니다. 

새로운 취약점에 대한 소식은 다음과 같은 경우에도 나타납니다. 수천 명의 Progress 고객 MOVEit 파일 전송 기술의 제로데이 취약점으로 인해 어려움을 겪고 있습니다. 회사가 공개한 것 XNUMX월 말. 지금까지, 2,100 개 이상의 조직 이 결함을 악용한 공격의 희생양이 되었으며, 그 중 다수는 Cl0p 랜섬웨어 그룹. 새로 공개된 버그는 마찬가지로 위험할 수 있습니다. 이는 MOVEit과 같이 조직에서 시스템, 그룹, 개인 간의 보안 파일 전송을 활성화하는 데 사용하는 엔터프라이즈급 소프트웨어인 WS_FTP의 지원되는 모든 버전에 영향을 미칩니다. 

Progress의 대변인은 Dark Reading에 보낸 이메일 성명에서 회사가 지금까지 어떤 결함도 표적으로 삼는 공격 활동의 징후를 발견하지 못했다고 말했습니다. 

“우리는 Assetnote의 연구원들과 협력하여 이러한 취약점을 책임감 있게 공개했습니다.”라고 성명서는 말했습니다. “현재로서는 이러한 취약점이 악용되었다는 어떠한 징후도 발견되지 않았습니다. 우리는 수정 사항을 발표했으며 고객에게 소프트웨어 패치 버전으로 업그레이드하도록 권장했습니다."

지금 WS_FTP 패치

진행 상황에서는 취약점을 해결하고 영향을 받는 모든 제품에 대한 버전별 핫픽스를 발행했습니다. 회사는 고객에게 즉시 업데이트하거나 권장 완화 단계를 적용할 것을 촉구하고 있습니다. Progress에서는 지원되지 않는 WS_FTP 버전을 사용하는 조직도 최대한 빨리 지원되고 수정된 버전으로 업그레이드하기를 원합니다.

Progress는 “전체 설치 프로그램을 사용하여 패치 릴리스로 업그레이드하는 것이 이 문제를 해결할 수 있는 유일한 방법입니다.”라고 말했습니다. “업그레이드가 실행되는 동안 시스템이 중단됩니다.”

특히 이번 주에 Progress가 공개한 취약점은 WS_FTP 서버 Ad Hoc 전송 모듈과 WS_FTP 서버 관리자 인터페이스에 존재합니다.

심각한 취약점은 "쉽게 악용 가능"합니다.

다음과 같이 추적된 최대 심각도 취약점 CVE-2023-40044 8.7.4 및 8.8.2 이전의 WS_FTP 서버 버전에 영향을 미치며 언급한 대로 공격자는 영향을 받는 시스템에서 사전 인증 RCE를 얻을 수 있는 방법을 제공합니다. Progress에서는 이 문제를 .NET 직렬화 취약점으로 설명했습니다. 이는 앱이 발생하는 일반적인 종류의 버그입니다. 요청 페이로드를 처리합니다. 안전하지 않은 방식으로. 이러한 결함으로 인해 서비스 거부 공격, 정보 유출 및 RCE가 발생할 수 있습니다. Progress는 Assetnote의 두 연구원이 결함을 발견하고 회사에 보고한 공로를 인정했습니다.

Rapid7의 취약성 연구 책임자인 Caitlin Condon은 자신의 회사 연구팀이 취약성을 식별하고 악용 가능성을 테스트할 수 있었다고 말했습니다. “[Rapid 7은] 특정 경로 아래의 모든 URI에 대한 HTTPS POST 요청 및 일부 특정 멀티파트 데이터를 통해 쉽게 악용될 수 있음을 확인했습니다. 인증이나 사용자 상호 작용이 필요하지 않습니다.”라고 Condon은 말합니다.

28월 XNUMX일 X(이전 트위터)의 게시물에서 Assetnote 연구원 중 한 명이 회사의 계획을 발표했습니다. 완전한 글을 발표하다 30일 이내에 발견한 문제 또는 그 전에 익스플로잇의 세부 정보가 공개적으로 공개되는 경우.

한편, 또 다른 중요한 버그는 디렉터리 탐색 취약점입니다. CVE-2023-42657, 8.7.4 및 8.8.2 이전의 WS_FTP 서버 버전. 

Progress는 권고에서 “공격자는 이 취약점을 활용하여 승인된 WS_FTP 폴더 경로 외부의 파일 및 폴더에 대한 파일 작업(삭제, 이름 바꾸기, rmdir, mkdir)을 수행할 수 있습니다.”라고 경고했습니다. “공격자는 WS_FTP 서버 파일 구조의 컨텍스트를 벗어나 기본 운영 체제의 파일 및 폴더 위치에서 동일한 수준의 작업(삭제, 이름 바꾸기, rmdir, mkdir)을 수행할 수도 있습니다.” 이 버그의 CVSS 점수는 9.9점 만점에 10점으로 최대 심각도에 가까운 취약점입니다. 디렉터리 탐색 결함, 또는 경로 탐색은 기본적으로 공격자가 승인되지 않은 파일 및 디렉터리에 액세스할 수 있는 방법을 제공하는 취약점입니다.

진행 중인 파일 전송 버그를 발견하는 방법

다른 문제에는 심각도가 높은 두 가지 버그(CVE-2023-40045 및 CVE-2023-40047)은 악성 JavaScript 실행을 가능하게 하는 XSS(교차 사이트 스크립팅) 취약점입니다. 중간 수준의 보안 결함에는 다음이 포함됩니다. CVE-2023-40048, 크로스 사이트 요청 위조(CSRF) 버그; 그리고 CVE-2023-40049, 정보 공개 문제 등이 있습니다. 

Tanium의 최고 보안 고문인 Timothy Morris는 "WF_FTP는 풍부한 역사를 갖고 있으며 일반적으로 IT와 ​​개발자 사이에서 사용됩니다."라고 말하면서 좋은 소프트웨어 인벤토리를 유지 관리하거나 해당 환경에서 소프트웨어 사용을 모니터링하는 프로그램을 보유하고 있는 조직은 다음과 같이 덧붙였습니다. WS_FTP의 취약한 인스턴스를 추적하고 업데이트하는 데 비교적 쉬운 시간이 걸립니다.”

그는 "또한 WS_FTP 버전을 실행하면 일반적으로 연결 요청을 수락하기 위해 들어오는 포트가 열려 있기 때문에 네트워크 모니터링 도구를 사용하여 발견하는 것이 어렵지 않을 것입니다."라고 덧붙입니다.

“소프트웨어 인벤토리 도구를 사용하여 환경(앱 설치, 서비스 실행)을 검색한 다음 파일 검색을 보조 방법으로 사용하여 정지 상태의 WS_FTP 버전을 검색하고 찾습니다.”라고 그는 말합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cloud/moveit-progress-critical-bug-ws_ftp-software