Voor de tweede keer in de afgelopen maanden eist Progress Software van bedrijfsbeveiligingsteams dat ze alles moeten laten vallen en snel actie moeten ondernemen om hun organisaties te beschermen tegen kritieke kwetsbaarheden in de bestandsoverdrachtsoftware – dit keer het WS_FTP-bestandsoverdrachtproduct dat door ongeveer 40 miljoen mensen wordt gebruikt.
De ernstigste bug maakt vooraf geverifieerde uitvoering van externe code (RCE) mogelijk zonder enige gebruikersinteractie. Daarnaast bevat de groep ook een bug die bijna de maximale ernst heeft, en zes bugs met een hoge of gemiddelde ernst.
Het nieuws over de nieuwe kwetsbaarheden komt zelfs zo duizenden Progress-klanten zijn aan het bijkomen van een zero-day-kwetsbaarheid in hun MOVEit-technologie voor bestandsoverdracht dat het bedrijf heeft bekendgemaakt eind mei. Dusver, meer dan 2,100 organisaties zijn het slachtoffer geworden van aanvallen die gebruik maken van de fout, waarvan vele door de Cl0p ransomware-groep. De onlangs onthulde bugs kunnen eveneens gevaarlijk zijn: ze beïnvloeden alle ondersteunde versies van WS_FTP, wat, net als MOVEit, software van bedrijfsniveau is die organisaties gebruiken om veilige bestandsoverdracht tussen systemen, groepen en individuen mogelijk te maken.
In een verklaring per e-mail aan Dark Reading zei een woordvoerder van Progress dat het bedrijf tot nu toe geen tekenen heeft gezien van exploitactiviteiten gericht op de tekortkomingen.
“We hebben deze kwetsbaarheden op verantwoorde wijze openbaar gemaakt in samenwerking met de onderzoekers van Assetnote”, aldus de verklaring. “Momenteel hebben we geen enkele aanwijzing gezien dat deze kwetsbaarheden zijn uitgebuit. We hebben een oplossing uitgebracht en onze klanten aangemoedigd een upgrade uit te voeren naar de gepatchte versie van onze software.”
Patch WS_FTP nu
Progress heeft de kwetsbaarheden verholpen en versiespecifieke hotfixes uitgebracht voor alle getroffen producten. Het bedrijf dringt er bij zijn klanten op aan om onmiddellijk te updaten of de aanbevolen mitigatiestappen toe te passen; Progress wil dat organisaties die niet-ondersteunde versies van WS_FTP gebruiken, ook zo snel mogelijk upgraden naar een ondersteunde en vaste versie.
“Upgraden naar een gepatchte release, met behulp van het volledige installatieprogramma, is de enige manier om dit probleem te verhelpen”, aldus Progress. “Er zal een systeemstoring optreden terwijl de upgrade wordt uitgevoerd.”
De kwetsbaarheden die Progress deze week openbaarde, zijn met name aanwezig in de WS_FTP Server Ad hoc Transfer Module en in de WS_FTP Server managerinterface.
Kritieke kwetsbaarheid is “gemakkelijk te exploiteren”
De kwetsbaarheid met maximale ernst wordt bijgehouden als CVE-2023-40044 heeft invloed op WS_FTP Server-versies vóór 8.7.4 en 8.8.2, en geeft aanvallers, zoals gezegd, een manier om pre-authenticatie RCE op getroffen systemen te verkrijgen. Progress beschreef het probleem als een .NET-serialisatiekwetsbaarheid – een veelvoorkomend soort bug bij een app processen vragen om payloads op een onzekere manier. Dergelijke fouten kunnen denial-of-service-aanvallen, informatielekken en RCE mogelijk maken. Volgens Progress hebben twee onderzoekers van Assetnote de tekortkomingen ontdekt en deze aan het bedrijf gerapporteerd.
Caitlin Condon, hoofd kwetsbaarheidsonderzoek bij Rapid7, zegt dat het onderzoeksteam van haar bedrijf in staat was de kwetsbaarheid te identificeren en de exploiteerbaarheid ervan te testen. “[Rapid 7 heeft] geverifieerd dat het gemakkelijk kan worden misbruikt met een HTTPS POST-verzoek – en enkele specifieke meerdelige gegevens – naar elke URI onder een specifiek pad. Er is geen authenticatie vereist en er is geen gebruikersinteractie vereist”, zegt Condon.
In een bericht op X (voorheen Twitter) op 28 september kondigde een van de Assetnote-onderzoekers de plannen van het bedrijf aan om een volledig artikel vrijgeven over de problemen die ze in 30 dagen hebben ontdekt – of als details van de exploit vóór die tijd publiekelijk beschikbaar worden.
Ondertussen is de andere kritieke bug een kwetsbaarheid bij het doorkruisen van mappen, CVE-2023-42657, in WS_FTP Server-versies vóór 8.7.4 en 8.8.2.
“Een aanvaller zou deze kwetsbaarheid kunnen misbruiken om bestandsbewerkingen (verwijderen, hernoemen, rmdir, mkdir) uit te voeren op bestanden en mappen buiten het geautoriseerde WS_FTP-mappad”, waarschuwde Progress in zijn advies. “Aanvallers kunnen ook ontsnappen aan de context van de bestandsstructuur van de WS_FTP Server en hetzelfde niveau van bewerkingen uitvoeren (verwijderen, hernoemen, rmdir, mkdir) op bestands- en maplocaties op het onderliggende besturingssysteem.” De bug heeft een CVSS-score van 9.9 uit 10, waardoor het een kwetsbaarheid met bijna de maximale ernst is. Fouten bij het doorlopen van directory's, of path traversal, zijn kwetsbaarheden die aanvallers in feite een manier bieden om toegang te krijgen tot ongeautoriseerde bestanden en mappen.
Hoe u de lopende bugs kunt ontdekken bij bestandsoverdracht
De andere problemen omvatten twee zeer ernstige bugs (CVE-2023-40045 en CVE-2023-40047), dit zijn cross-site scripting (XSS)-kwetsbaarheden die de uitvoering van kwaadaardig JavaScript mogelijk maken. De gemiddelde beveiligingsfouten omvatten CVE-2023-40048, een cross-site request forgery (CSRF) bug; En CVE-2023-40049, onder meer een probleem met het vrijgeven van informatie.
“WF_FTP heeft een rijke geschiedenis en wordt doorgaans gebruikt door IT en ontwikkelaars”, zegt Timothy Morris, hoofdbeveiligingsadviseur bij Tanium, eraan toevoegend dat organisaties die een goede software-inventaris bijhouden en/of programma’s hebben om het softwaregebruik in hun omgeving te monitoren, een relatief eenvoudig tijd om kwetsbare exemplaren van WS_FTP op te sporen en bij te werken.”
Hij voegt eraan toe: “Omdat de actieve versies van WS_FTP doorgaans inkomende poorten open hebben staan om verbindingsverzoeken te accepteren, zou het niet moeilijk zijn om dit te herkennen met netwerkmonitoringtools.”
"Ik zou beginnen met software-inventarisatietools om de omgeving te scannen (app geïnstalleerd, service actief) en vervolgens bestandszoekopdrachten gebruiken als secundaire methode om versies van WS_FTP in rust te zoeken en te vinden", zegt hij.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cloud/moveit-progress-critical-bug-ws_ftp-software
- : heeft
- :is
- :niet
- :waar
- 10
- 100
- 28
- 30
- 40
- 7
- 8
- 9
- a
- in staat
- ACCEPTEREN
- toegang
- activiteit
- Ad
- toe te voegen
- toevoeging
- Voegt
- adviseur
- adviserend
- invloed hebben op
- tegen
- Alles
- toestaat
- ook
- onder
- an
- en
- aangekondigd
- elke
- gebruiken
- Solliciteer
- ZIJN
- AS
- At
- Aanvallen
- authenticatie
- bevoegd
- Beschikbaar
- Eigenlijk
- BE
- worden
- geweest
- vaardigheden
- tussen
- Bug
- bugs
- by
- CAN
- chef
- code
- komt
- Gemeen
- afstand
- samenwerking
- versterken
- verband
- kon
- kritisch
- Op dit moment
- Klanten
- CVE
- gevaarlijk
- Donker
- Donkere lezing
- gegevens
- dagen
- beschreven
- gegevens
- ontwikkelaars
- moeilijk
- directories
- onthulling
- ontdekt
- het ontdekken van
- beneden
- Val
- gemakkelijk
- En het is heel gemakkelijk
- beide
- Emsisoft
- in staat stellen
- aangemoedigd
- Enterprise
- enterprise beveiliging
- enterprise-kwaliteit
- Milieu
- ontsnappen
- Zelfs
- alles
- uitvoering
- Exploiteren
- Exploited
- Gevallen
- ver
- Dien in
- Bestanden
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Bepalen
- vast
- fout
- gebreken
- Voor
- vroeger
- oppompen van
- vol
- Krijgen
- Geven
- geeft
- goed
- Groep
- Groep
- Hebben
- he
- hoofd
- haar
- Hoge
- geschiedenis
- HTTPS
- i
- Identiteit
- if
- per direct
- in
- omvatten
- omvat
- Inkomend
- aanwijzing
- individuen
- informatie
- onzeker
- geïnstalleerd
- wisselwerking
- Interface
- inventaris
- kwestie
- Uitgegeven
- problemen
- IT
- HAAR
- JavaScript
- jpg
- Soort
- Laat
- Lekken
- Niveau
- Hefboomwerking
- leveraging
- als
- locaties
- onderhouden
- maken
- manager
- manier
- veel
- maximaal
- Mei..
- Medium
- methode
- Microsoft
- miljoen
- verzachting
- Module
- monitor
- Grensverkeer
- maanden
- meest
- beweging
- Nabij
- netto
- netwerk
- New
- onlangs
- geen
- of
- on
- EEN
- Slechts
- open
- werkzaam
- besturingssysteem
- Operations
- or
- organisaties
- Overige
- Overig
- onze
- uit
- storing
- buiten
- over
- pad
- Mensen
- Uitvoeren
- plannen
- Plato
- Plato gegevensintelligentie
- PlatoData
- Post
- presenteren
- Voorafgaand
- Product
- Producten
- Programma's
- Voortgang
- beschermen
- in het openbaar
- snel
- ransomware
- snel
- lezing
- recent
- aanbevolen
- relatief
- los
- vanop
- Rapportage
- te vragen
- verzoeken
- nodig
- onderzoek
- onderzoekers
- REST
- Rijk
- lopend
- s
- Zei
- dezelfde
- zegt
- aftasten
- partituur
- Ontdek
- zoekopdrachten
- Tweede
- secundair
- beveiligen
- veiligheid
- gezien
- zeven
- server
- service
- streng
- moet
- Signs
- evenzo
- sinds
- ZES
- So
- dusver
- Software
- sommige
- specifiek
- Spot
- begin
- Statement
- Stappen
- structuur
- dergelijk
- ondersteunde
- system
- Systems
- targeting
- team
- teams
- Technologie
- proef
- neem contact
- dat
- De
- hun
- Ze
- harte
- Er.
- Deze
- ze
- dit
- deze week
- niet de tijd of
- naar
- tools
- Tracking
- overdracht
- transfers
- X
- twee
- typisch
- onbevoegd
- ontdekken
- voor
- die ten grondslag liggen
- bijwerken
- bijwerken
- upgrade
- aandringen
- .
- gebruikt
- Gebruiker
- gebruik
- geverifieerd
- versie
- versies
- Slachtoffer
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- wil
- was
- Manier..
- we
- week
- GOED
- welke
- en
- wil
- Met
- zonder
- zou niet
- X
- XSS
- zephyrnet
