Flytta över, MOVEit: Critical Progress Bug angriper WS_FTP-programvaran

Flytta över, MOVEit: Critical Progress Bug angriper WS_FTP-programvaran

Tidsstämpel: 29 september 2023 12:34
Flytta över, MOVEit: Critical Progress Bug angriper WS_FTP Software PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.

För andra gången under de senaste månaderna kräver Progress Software att företagssäkerhetsteam släpper allt och går snabbt för att skydda sina organisationer mot kritiska sårbarheter i sin filöverföringsprogramvara – den här gången, filöverföringsprodukten WS_FTP som används av cirka 40 miljoner människor.

Den allvarligaste av buggen möjliggör förautentiserad fjärrkodexekvering (RCE) utan användarinteraktion. Dessutom innehåller gruppen också en bugg som är nära maximal svårighetsgrad och sex som är av antingen hög eller medium svårighetsgrad. 

Nyheter om de nya sårbarheterna kommer även som tusentals Progress-kunder håller på att ha en noll-dagars sårbarhet i sin MOVEit filöverföringsteknik som företaget avslöjat i slutet av maj. Än så länge, mer än 2,100 organisationer har fallit offer för attacker som utnyttjar bristen, många av dem av Cl0p ransomware-grupp. De nyligen avslöjade buggarna kan vara lika farliga: De påverkar alla versioner av WS_FTP som stöds, som, liksom MOVEit, är programvara av företagskvalitet som organisationer använder för att möjliggöra säkra filöverföringar mellan system, grupper, individer. 

I ett e-postmeddelande till Dark Reading sa en talesman från Progress att företaget inte har sett några tecken på exploateringsaktivitet som riktar sig mot någon av bristerna, hittills. 

"Vi har på ett ansvarsfullt sätt avslöjat dessa sårbarheter i samarbete med forskarna på Assetnote," sa uttalandet. "För närvarande har vi inte sett någon indikation på att dessa sårbarheter har utnyttjats. Vi har utfärdat en fix och har uppmuntrat våra kunder att utföra en uppgradering till den korrigerade versionen av vår programvara."

Patcha WS_FTP nu

Progress har åtgärdat sårbarheterna och utfärdat versionsspecifika snabbkorrigeringar för alla berörda produkter. Företaget uppmanar sina kunder att uppdatera omedelbart eller tillämpa sina rekommenderade begränsningssteg; Progress vill att organisationer som använder versioner av WS_FTP som inte stöds också ska uppgradera till en stödd och fast version ASAP.

"Att uppgradera till en korrigerad version, med hjälp av det fullständiga installationsprogrammet, är det enda sättet att åtgärda det här problemet," sa Progress. "Det kommer att bli ett avbrott i systemet medan uppgraderingen körs."

Specifikt, de sårbarheter som Progress avslöjade den här veckan finns i WS_FTP Server Ad hoc Transfer Module och i WS_FTP Server Manager-gränssnittet.

Kritisk sårbarhet är "lätt att exploatera"

Den maximala allvarlighetssårbarheten spåras som CVE-2023-40044 påverkar WS_FTP-serverversioner före 8.7.4 och 8.8.2, och som nämnts ger angripare ett sätt att få förautentiserings-RCE på berörda system. Framsteg beskrev problemet som en .NET-serialiseringssårbarhet — en vanlig typ av bugg där en app processer begär nyttolaster på ett osäkert sätt. Sådana brister kan möjliggöra överbelastningsattacker, informationsläckor och RCE. Progress krediterade två forskare från Assetnote för att ha upptäckt bristerna och rapporterat det till företaget.

Caitlin Condon, chef för sårbarhetsforskning på Rapid7, säger att hennes företags forskargrupp kunde identifiera sårbarheten och testa dess exploateringsbarhet. "[Rapid 7 har] verifierat att det är lätt att exploatera med en HTTPS POST-begäran – och vissa specifika flerdelade data – till vilken URI som helst under en specifik sökväg. Ingen autentisering krävs, och ingen användarinteraktion krävs”, säger Condon.

I ett inlägg på X (tidigare Twitter) den 28 september tillkännagav en av Assetnote-forskarna företagets planer på att släpp en fullständig text om de problem de upptäckte inom 30 dagar – eller om detaljer om utnyttjandet blir offentligt tillgängliga innan dess.

Samtidigt är den andra kritiska buggen en sårbarhet för katalogövergång, CVE-2023-42657, i WS_FTP Server-versioner före 8.7.4 och 8.8.2. 

"En angripare kan utnyttja denna sårbarhet för att utföra filoperationer (radera, byta namn, rmdir, mkdir) på filer och mappar utanför deras auktoriserade WS_FTP-mappsökväg," varnade Progress i sitt råd. "Angripare kan också undkomma sammanhanget för WS_FTP Server-filstrukturen och utföra samma nivå av operationer (radera, byta namn, rmdir, mkdir) på fil- och mappplatser i det underliggande operativsystemet." Buggen har ett CVSS-poäng på 9.9 av 10, vilket gör det till en sårbarhet nära maximal allvarlighetsgrad. Katalogövergångsfel, eller sökväg, är sårbarheter som i princip ger angripare ett sätt att komma åt obehöriga filer och kataloger.

Hur man avslöjar de pågående buggars filöverföring

De andra problemen inkluderar två allvarliga buggar (CVE-2023-40045 och CVE-2023-40047), som är sårbarheter för cross-site scripting (XSS) som möjliggör exekvering av skadlig JavaScript. De medelstora säkerhetsbristerna inkluderar CVE-2023-40048, en CSRF-fel (cross-site request forgery); och CVE-2023-40049, bland annat en fråga om informationsutlämnande. 

"WF_FTP har en rik historia och används vanligtvis bland IT och utvecklare", säger Timothy Morris, chefssäkerhetsrådgivare på Tanium, och tillägger att organisationer som upprätthåller ett bra programvarulager och/eller har program för att övervaka mjukvaruanvändning i sin miljö bör ha en relativt lätt att spåra och uppdatera sårbara instanser av WS_FTP."

Han tillägger, "Eftersom körversioner av WS_FTP vanligtvis har inkommande portar öppna för att acceptera anslutningsförfrågningar, skulle det inte vara svårt att upptäcka med nätverksövervakningsverktyg."

"Jag skulle börja med programvaruinventeringsverktyg för att skanna miljön – app installerad, tjänst som körs – och sedan använda filsökningar som en sekundär metod för att söka och hitta versioner av WS_FTP, i vila", säger han.

Tidsstämpel:

Mer från Mörk läsning