Перемістіть, MOVEit: критична помилка прогресу заражає програмне забезпечення WS_FTP

Перемістіть, MOVEit: критична помилка прогресу заражає програмне забезпечення WS_FTP

Мітка часу: 29 вересня 2023 12:34
Move Over, MOVEit: критична помилка прогресу заражає програмне забезпечення WS_FTP PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.

Вже вдруге за останні місяці Progress Software вимагає, щоб команди корпоративної безпеки відмовилися від усіх і швидко почали діяти, щоб захистити свої організації від критичних уразливостей у своєму програмному забезпеченні для передачі файлів — цього разу це продукт передачі файлів WS_FTP, яким користується близько 40 мільйонів людей.

Найсерйозніша з помилок дозволяє попередньо автентифіковане віддалене виконання коду (RCE) без будь-якої взаємодії з користувачем. Крім того, група також включає помилку, яка має наближений до максимального ступеня серйозності, і шість помилок високого або середнього рівня серйозності. 

Новини про нові вразливості надходять навіть тоді тисячі клієнтів Progress страждають від уразливості нулевого дня у своїй технології передачі файлів MOVEit що розкрила компанія наприкінці травня. Так далеко, понад 2,100 організацій стали жертвами атак із використанням вади, багато з них Група програм-вимагачів Cl0p. Нещодавно виявлені помилки можуть бути так само небезпечними: вони впливають на всі підтримувані версії WS_FTP, яка, як і MOVEit, є програмним забезпеченням корпоративного рівня, яке організації використовують для безпечної передачі файлів між системами, групами та окремими особами. 

У заяві, надісланій електронною поштою Dark Reading, речник Progress сказав, що поки що компанія не помітила ознак експлойтів, спрямованих на будь-яку з недоліків. 

«Ми відповідально розкрили ці вразливості разом із дослідниками з Assetnote», — йдеться в заяві. «Наразі ми не бачили жодних ознак того, що ці вразливості були використані. Ми випустили виправлення та закликали наших клієнтів виконати оновлення до виправленої версії нашого програмного забезпечення».

Виправте WS_FTP зараз

Progress усунув вразливості та випустив виправлення для окремих версій для всіх уражених продуктів. Компанія закликає своїх клієнтів негайно оновити або застосувати рекомендовані кроки пом’якшення. Progress хоче, щоб організації, які використовують непідтримувані версії WS_FTP, також якнайшвидше перейшли на підтримувану та виправлену версію.

«Оновлення до випуску з виправленнями за допомогою повного інсталятора — єдиний спосіб усунути цю проблему», — сказав Прогрес. «Під час оновлення система буде перервана».

Зокрема, уразливості, які Progress розкрили цього тижня, присутні в модулі спеціальної передачі WS_FTP Server та в інтерфейсі диспетчера WS_FTP Server.

Критична вразливість є «легко використаною»

Уразливість максимального ступеня серйозності відстежується як CVE-2023-40044 впливає на версії сервера WS_FTP до 8.7.4 і 8.8.2 і, як уже згадувалося, дає зловмисникам можливість отримати RCE попередньої автентифікації в уражених системах. Прогрес описав проблему як уразливість серіалізації .NET — поширений вид помилки, коли програма обробляє запити корисного навантаження у небезпечний спосіб. Такі недоліки можуть призвести до атак типу «відмова в обслуговуванні», витоку інформації та RCE. Progress відзначив, що двоє дослідників з Assetnote виявили недоліки та повідомили про це компанії.

Кейтлін Кондон, керівник відділу дослідження вразливостей у Rapid7, каже, що дослідницька група її компанії змогла ідентифікувати вразливість і перевірити її можливість використання. «[Rapid 7] підтвердив, що його легко використовувати за допомогою запиту HTTPS POST — і деяких конкретних багатокомпонентних даних — до будь-якого URI за певним шляхом. Не потрібна автентифікація та взаємодія з користувачем», — каже Кондон.

У дописі на X (раніше Twitter) 28 вересня один із дослідників Assetnote оголосив про плани компанії випустіть повний опис щодо проблем, які вони виявили протягом 30 днів, або якщо деталі експлойту стануть загальнодоступними до цього часу.

Тим часом, інша критична помилка – це вразливість проходження каталогу, CVE-2023-42657, у версіях сервера WS_FTP до 8.7.4 і 8.8.2. 

«Зловмисник може використати цю вразливість для виконання файлових операцій (видалення, перейменування, rmdir, mkdir) з файлами та папками за межами авторизованого шляху папки WS_FTP», — попереджає Progress у своєму повідомленні. «Зловмисники також можуть уникнути контексту файлової структури сервера WS_FTP і виконувати операції того самого рівня (видалення, перейменування, rmdir, mkdir) із розташуванням файлів і папок у базовій операційній системі». Ця помилка має оцінку CVSS 9.9 з 10, що робить її майже максимальною серйозністю. Недоліки проходження каталогуабо проходження шляху — це вразливості, які в основному дають зловмисникам доступ до неавторизованих файлів і каталогів.

Як виявити помилки під час передавання файлів

Інші проблеми включають дві серйозні помилки (CVE-2023-40045 та CVE-2023-40047), які є уразливістю міжсайтового сценарію (XSS), що дозволяє виконувати зловмисний JavaScript. Середні недоліки безпеки включають CVE-2023-40048, помилка підробки міжсайтового запиту (CSRF); і CVE-2023-40049, питання розкриття інформації, серед іншого. 

«WF_FTP має багату історію та зазвичай використовується серед ІТ та розробників», — каже Тімоті Морріс, головний радник із безпеки Tanium, додаючи, що організації, які підтримують належний інвентар програмного забезпечення та/або мають програми для моніторингу використання програмного забезпечення у своєму середовищі, повинні мати відносно легкий час відстеження та оновлення вразливих екземплярів WS_FTP».

Він додає: «Крім того, оскільки запущені версії WS_FTP зазвичай мають вхідні порти, відкриті для прийому запитів на підключення, це неважко виявити за допомогою інструментів моніторингу мережі».

«Я б почав із інструментів інвентаризації програмного забезпечення для сканування середовища — встановленої програми, запущеної служби — потім використовував пошук файлів як допоміжний метод для пошуку та знаходження версій WS_FTP у стані спокою», — каже він.

Часова мітка:

Більше від Темне читання