Premakni se, MOVEit: kritična napaka napredka okuži programsko opremo WS_FTP

Premakni se, MOVEit: kritična napaka napredka okuži programsko opremo WS_FTP

Časovni žig: 29. september 2023 12:34
Move Over, MOVEit: Critical Progress Bug Infests WS_FTP Software PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Progress Software že drugič v zadnjih mesecih zahteva, da varnostne ekipe podjetij opustijo vse in hitro ukrepajo, da bi zaščitile svoje organizacije pred kritičnimi ranljivostmi v svoji programski opremi za prenos datotek – tokrat izdelek za prenos datotek WS_FTP, ki ga uporablja približno 40 milijonov ljudi.

Najhujši hrošč omogoča predhodno avtenticirano oddaljeno izvajanje kode (RCE) brez kakršne koli interakcije uporabnika. Poleg tega skupina vključuje tudi napako, ki je blizu največje resnosti, in šest, ki so visoke ali srednje resne. 

Novice o novih ranljivostih prihajajo celo kot na tisoče strank Progress se otepajo zaradi ranljivosti zero-day v svoji tehnologiji prenosa datotek MOVEit ki jih je družba razkrila konec maja. Do sedaj, več kot 2,100 organizacij so postali žrtve napadov, ki so izkoriščali napako, mnogi od njih Skupina izsiljevalskih programov Cl0p. Na novo razkrite napake bi lahko bile podobno nevarne: vplivajo na vse podprte različice WS_FTP, ki je tako kot MOVEit programska oprema poslovnega razreda, ki jo organizacije uporabljajo za omogočanje varnega prenosa datotek med sistemi, skupinami, posamezniki. 

V izjavi, poslani po e-pošti Dark Readingu, je tiskovni predstavnik podjetja Progress dejal, da podjetje doslej ni opazilo nobenih znakov izkoriščanja, ki bi ciljalo na katero od pomanjkljivosti. 

"Te ranljivosti smo odgovorno razkrili v sodelovanju z raziskovalci pri Assetnote," je zapisano v izjavi. »Trenutno nismo opazili nobenih znakov, da so bile te ranljivosti izkoriščene. Izdali smo popravek in naše stranke spodbudili, naj izvedejo nadgradnjo na popravljeno različico naše programske opreme.«

Popravi WS_FTP zdaj

Progress je odpravil ranljivosti in izdal sprotne popravke za posamezne različice za vse prizadete izdelke. Podjetje poziva svoje stranke, naj nemudoma posodobijo ali uporabijo priporočene korake za ublažitev; Progress želi, da organizacije, ki uporabljajo nepodprte različice WS_FTP, prav tako čim prej nadgradijo na podprto in fiksno različico.

»Nadgradnja na izdajo s popravki z uporabo celotnega namestitvenega programa je edini način za odpravo te težave,« je dejal Progress. "Med izvajanjem nadgradnje bo prišlo do izpada sistema."

Natančneje, ranljivosti, ki jih je ta teden razkril Progress, so prisotne v Ad hoc prenosnem modulu strežnika WS_FTP in v vmesniku upravitelja strežnika WS_FTP.

Kritično ranljivost je "lahko izkoristiti"

Največja resnost ranljivosti, ki se spremlja kot CVE-2023-40044 vpliva na različice strežnika WS_FTP pred 8.7.4 in 8.8.2 in, kot že omenjeno, napadalcem omogoča pridobitev RCE pred avtentifikacijo na prizadetih sistemih. Progress je težavo opisal kot ranljivost serializacije .NET – pogosta vrsta hrošča, kjer aplikacija obdeluje koristne obremenitve na negotov način. Takšne napake lahko omogočijo napade z zavrnitvijo storitve, uhajanje informacij in RCE. Progress je priznal, da sta dva raziskovalca iz Assetnote odkrila pomanjkljivosti in o tem poročala podjetju.

Caitlin Condon, vodja raziskave ranljivosti pri Rapid7, pravi, da je raziskovalni skupini njenega podjetja uspelo prepoznati ranljivost in preizkusiti njeno izkoriščanje. »[Rapid 7 je] preveril, da ga je enostavno izkoristiti z zahtevo HTTPS POST — in nekaterimi specifičnimi večdelnimi podatki — za kateri koli URI pod določeno potjo. Preverjanje pristnosti ni potrebno in interakcija uporabnika ni potrebna,« pravi Condon.

V objavi na X (prej Twitter) 28. septembra je eden od raziskovalcev Assetnote napovedal načrte podjetja za objavite celoten zapis o težavah, ki so jih odkrili v 30 dneh — ali če podrobnosti o izkoriščanju pred tem postanejo javno dostopne.

Medtem je druga kritična napaka ranljivost prečkanja imenika, CVE-2023-42657, v različicah strežnika WS_FTP pred 8.7.4 in 8.8.2. 

»Napadalec bi lahko izkoristil to ranljivost za izvajanje datotečnih operacij (brisanje, preimenovanje, rmdir, mkdir) na datotekah in mapah zunaj njihove pooblaščene poti mape WS_FTP,« je v svojem nasvetu opozoril Progress. "Napadalci se lahko tudi izognejo kontekstu datotečne strukture strežnika WS_FTP in izvedejo enako raven operacij (brisanje, preimenovanje, rmdir, mkdir) na lokacijah datotek in map v osnovnem operacijskem sistemu." Napaka ima oceno CVSS 9.9 od 10, zaradi česar je ranljivost skoraj največje resnosti. Napake pri prehodu imenikaali prehod poti so ranljivosti, ki napadalcem v bistvu omogočajo dostop do nepooblaščenih datotek in imenikov.

Kako odkriti napake pri prenosu datotek v teku

Druge težave vključujejo dve zelo resni hrošči (CVE-2023-40045 in CVE-2023-40047), ki so ranljivosti skriptiranja na več mestih (XSS), ki omogočajo izvajanje zlonamernega JavaScripta. Srednje varnostne pomanjkljivosti vključujejo CVE-2023-40048, napaka pri ponarejanju zahtev na različnih mestih (CSRF); in CVE-2023-40049, med drugim vprašanje razkritja informacij. 

»WF_FTP ima bogato zgodovino in se običajno uporablja med IT in razvijalci,« pravi Timothy Morris, glavni svetovalec za varnost pri Taniumu, in dodaja, da bi morale organizacije, ki vzdržujejo dober inventar programske opreme in/ali imajo programe za spremljanje uporabe programske opreme v svojem okolju, razmeroma enostavno sledenje in posodabljanje ranljivih primerkov WS_FTP."

Dodal je: "Poleg tega, ker imajo izvajajoče se različice WS_FTP običajno odprta dohodna vrata za sprejemanje zahtev za povezavo, tega ne bi bilo težko opaziti z orodji za nadzor omrežja."

»Začel bi z orodji za inventar programske opreme za skeniranje okolja – nameščena aplikacija, zagnana storitev – nato bi uporabil iskanje datotek kot sekundarno metodo za iskanje in iskanje različic WS_FTP, ki miruje,« pravi.

Časovni žig:

Več od Temno branje