حالیہ مہینوں میں دوسری بار، پروگریس سافٹ ویئر انٹرپرائز سیکیورٹی ٹیموں سے مطالبہ کر رہا ہے کہ وہ سب کچھ چھوڑ دیں اور اپنی تنظیموں کو اس کے فائل ٹرانسفر سافٹ ویئر میں اہم خطرات سے بچانے کے لیے تیزی سے آگے بڑھیں — اس بار، WS_FTP فائل ٹرانسفر پروڈکٹ تقریباً 40 ملین افراد استعمال کرتے ہیں۔
سب سے شدید کیڑے بغیر کسی صارف کے تعامل کے پہلے سے تصدیق شدہ ریموٹ کوڈ ایگزیکیوشن (RCE) کی اجازت دیتے ہیں۔ اس کے علاوہ، گروپ میں ایک بگ بھی شامل ہے جو زیادہ سے زیادہ شدت کے قریب ہے اور چھ جو کہ زیادہ یا درمیانی شدت کے ہیں۔
یہاں تک کہ نئے خطرات کی خبریں آتی ہیں۔ ہزاروں پروگریس صارفین اپنی MOVEit فائل ٹرانسفر ٹیکنالوجی میں صفر دن کے خطرے سے دوچار ہیں۔ جس کا کمپنی نے انکشاف کیا۔ مئی کے آخر میں. اب تک، 2,100 سے زیادہ تنظیمیں۔ اس خامی کا فائدہ اٹھاتے ہوئے حملوں کا شکار ہوئے ہیں، ان میں سے بہت سے Cl0p رینسم ویئر گروپ. نئے انکشاف کردہ کیڑے اسی طرح خطرناک ہوسکتے ہیں: وہ WS_FTP کے تمام تعاون یافتہ ورژنز کو متاثر کرتے ہیں، جو کہ MOVEit کی طرح، انٹرپرائز گریڈ سافٹ ویئر ہے جسے تنظیمیں سسٹمز، گروپس، افراد کے درمیان محفوظ فائل ٹرانسفر کو فعال کرنے کے لیے استعمال کرتی ہیں۔
ڈارک ریڈنگ کو ای میل کیے گئے ایک بیان میں، پروگریس کے ایک ترجمان نے کہا کہ کمپنی نے اب تک کسی بھی خامی کو نشانہ بنانے والی استحصالی سرگرمی کے کوئی آثار نہیں دیکھے۔
بیان میں کہا گیا ہے کہ "ہم نے ذمہ داری سے ان کمزوریوں کا انکشاف Assetnote کے محققین کے ساتھ مل کر کیا ہے۔" "فی الحال، ہم نے کوئی اشارہ نہیں دیکھا ہے کہ ان کمزوریوں کا استحصال کیا گیا ہے. ہم نے ایک فکس جاری کیا ہے اور اپنے صارفین کو اپنے سافٹ ویئر کے پیچ شدہ ورژن میں اپ گریڈ کرنے کی ترغیب دی ہے۔"
WS_FTP ابھی پیچ کریں۔
پیشرفت نے کمزوریوں کا ازالہ کر دیا ہے اور تمام متاثرہ مصنوعات کے لیے ورژن کے لیے مخصوص ہاٹ فکس جاری کیے ہیں۔ کمپنی اپنے صارفین پر زور دے رہی ہے کہ وہ فوری طور پر اپ ڈیٹ کریں یا اس کے تجویز کردہ تخفیف کے اقدامات کو لاگو کریں۔ پروگریس چاہتی ہے کہ وہ تنظیمیں جو WS_FTP کے غیر تعاون یافتہ ورژنز استعمال کر رہی ہیں وہ بھی ASAP کے معاون اور فکسڈ ورژن میں اپ گریڈ کریں۔
پروگریس نے کہا، "مکمل انسٹالر کا استعمال کرتے ہوئے، پیچ شدہ ریلیز میں اپ گریڈ کرنا، اس مسئلے کو حل کرنے کا واحد طریقہ ہے۔" "جب اپ گریڈ چل رہا ہو تو سسٹم میں خرابی ہوگی۔"
خاص طور پر، اس ہفتے پیش رفت نے جن خطرات کا انکشاف کیا ہے وہ WS_FTP سرور ایڈہاک ٹرانسفر ماڈیول اور WS_FTP سرور مینیجر انٹرفیس میں موجود ہیں۔
نازک کمزوری "آسانی سے قابل استعمال" ہے
زیادہ سے زیادہ شدت کے خطرے کو بطور ٹریک کیا گیا ہے۔ CVE-2023-40044 WS_FTP سرور 8.7.4 اور 8.8.2 سے پہلے کے ورژنز کو متاثر کرتا ہے، اور جیسا کہ ذکر کیا گیا ہے حملہ آوروں کو متاثرہ سسٹمز پر پہلے سے تصدیق شدہ RCE حاصل کرنے کا طریقہ فراہم کرتا ہے۔ پیشرفت نے اس مسئلے کو .NET سیریلائزیشن کے خطرے کے طور پر بیان کیا - ایک عام قسم کا بگ جہاں ایک ایپ عمل پے لوڈز کی درخواست کرتا ہے۔ غیر محفوظ طریقے سے. اس طرح کی خامیاں سروس سے انکار کے حملوں، معلومات کے لیک اور RCE کو فعال کر سکتی ہیں۔ Progress نے Assetnote کے دو محققین کو خامیوں کو دریافت کرنے اور کمپنی کو رپورٹ کرنے کا سہرا دیا۔
Rapid7 میں خطرے کی تحقیق کی سربراہ کیٹلن کونڈن کہتی ہیں کہ ان کی کمپنی کی تحقیقی ٹیم کمزوری کی شناخت کرنے اور اس کے استحصال کو جانچنے میں کامیاب رہی۔ "[Rapid 7] نے تصدیق کی ہے کہ HTTPS POST کی درخواست - اور کچھ مخصوص ملٹی پارٹ ڈیٹا - کسی مخصوص راستے کے تحت کسی بھی URI کے ساتھ آسانی سے استفادہ کیا جا سکتا ہے۔ کسی توثیق کی ضرورت نہیں ہے، اور کسی صارف کی بات چیت کی ضرورت نہیں ہے،" کونڈون کہتے ہیں۔
28 ستمبر کو X (سابقہ ٹویٹر) پر ایک پوسٹ میں، Assetnote کے محققین میں سے ایک نے کمپنی کے منصوبوں کا اعلان کیا۔ ایک مکمل تحریر جاری کریں۔ ان مسائل پر جو انہوں نے 30 دنوں میں دریافت کیے — یا اگر اس سے پہلے استحصال کی تفصیلات عوامی طور پر دستیاب ہو جائیں۔
دریں اثنا، دوسرا اہم بگ ڈائرکٹری ٹراورسل کمزوری ہے، CVE-2023-42657 ، WS_FTP سرور ورژن میں 8.7.4 اور 8.8.2 سے پہلے۔
پروگریس نے اپنی ایڈوائزری میں متنبہ کیا کہ "حملہ آور اپنے مجاز WS_FTP فولڈر پاتھ سے باہر فائلوں اور فولڈرز پر فائل آپریشنز (حذف کرنا، نام تبدیل کرنا، rmdir، mkdir) کرنے کے لیے اس کمزوری کا فائدہ اٹھا سکتا ہے۔ "حملہ آور WS_FTP سرور فائل ڈھانچے کے سیاق و سباق سے بھی بچ سکتے ہیں اور بنیادی آپریٹنگ سسٹم پر فائل اور فولڈر کے مقامات پر اسی سطح کے آپریشن (حذف کرنا، نام تبدیل کرنا، rmdir، mkdir) کر سکتے ہیں۔" بگ کا CVSS سکور 9.9 میں سے 10 ہے، جو اسے قریب سے زیادہ شدت کا خطرہ بناتا ہے۔ ڈائرکٹری ٹراورسل خامیاں، یا پاتھ ٹراورسل، وہ کمزوریاں ہیں جو بنیادی طور پر حملہ آوروں کو غیر مجاز فائلوں اور ڈائریکٹریوں تک رسائی کا راستہ فراہم کرتی ہیں۔
فائل ٹرانسفر میں کیڑے کو کیسے ننگا کریں۔
دیگر مسائل میں دو اعلی شدت والے کیڑے شامل ہیں (CVE-2023-40045 اور CVE-2023-40047)، جو کراس سائٹ اسکرپٹنگ (XSS) کی کمزوریاں ہیں جو نقصان دہ JavaScript پر عمل درآمد کو قابل بناتی ہیں۔ درمیانے درجے کی حفاظتی خامیوں میں شامل ہیں۔ CVE-2023-40048, ایک کراس سائٹ درخواست جعل سازی (CSRF) بگ؛ اور CVE-2023-40049معلومات کے افشاء کا مسئلہ، دوسروں کے درمیان۔
"WF_FTP کی ایک بھرپور تاریخ ہے اور اسے عام طور پر IT اور ڈویلپرز کے درمیان استعمال کیا جاتا ہے،" ٹینیم کے چیف سیکورٹی ایڈوائزر ٹموتھی مورس کہتے ہیں، انہوں نے مزید کہا کہ وہ تنظیمیں جو سافٹ ویئر کی اچھی انوینٹری کو برقرار رکھتی ہیں اور/یا اپنے ماحول میں سافٹ ویئر کے استعمال کی نگرانی کے لیے پروگرام رکھتی ہیں۔ WS_FTP کی کمزور مثالوں کو ٹریک کرنے اور اپ ڈیٹ کرنے میں نسبتاً آسان وقت۔
انہوں نے مزید کہا، "اس کے علاوہ، چونکہ WS_FTP کے چلانے والے ورژن میں عام طور پر آنے والی بندرگاہیں کنکشن کی درخواستوں کو قبول کرنے کے لیے کھلی ہوتی ہیں، اس لیے نیٹ ورک مانیٹرنگ ٹولز کے ذریعے اس کی نشاندہی کرنا مشکل نہیں ہوگا۔"
"میں ماحول کو اسکین کرنے کے لیے سافٹ ویئر انوینٹری ٹولز کے ساتھ شروع کروں گا — ایپ انسٹال، سروس چل رہی ہے — پھر WS_FTP کے ورژنز کو تلاش کرنے اور تلاش کرنے کے لیے فائل کی تلاش کو ایک ثانوی طریقہ کے طور پر استعمال کریں، باقی،" وہ کہتے ہیں۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cloud/moveit-progress-critical-bug-ws_ftp-software
- : ہے
- : ہے
- : نہیں
- :کہاں
- 10
- 100
- 28
- 30
- 40
- 7
- 8
- 9
- a
- قابلیت
- قبول کریں
- تک رسائی حاصل
- سرگرمی
- Ad
- انہوں نے مزید کہا
- اس کے علاوہ
- جوڑتا ہے
- مشیر
- مشاورتی
- پر اثر انداز
- کے خلاف
- تمام
- کی اجازت دیتا ہے
- بھی
- کے درمیان
- an
- اور
- کا اعلان کیا ہے
- کوئی بھی
- اپلی کیشن
- کا اطلاق کریں
- کیا
- AS
- At
- حملے
- کی توثیق
- مجاز
- دستیاب
- بنیادی طور پر
- BE
- بن
- رہا
- اس سے پہلے
- کے درمیان
- بگ کی اطلاع دیں
- کیڑوں
- by
- کر سکتے ہیں
- چیف
- کوڈ
- آتا ہے
- کامن
- کمپنی کے
- مجموعہ
- کنکشن
- سیاق و سباق
- سکتا ہے
- اہم
- اس وقت
- گاہکوں
- سی ای وی
- خطرناک
- گہرا
- گہرا پڑھنا
- اعداد و شمار
- دن
- بیان کیا
- تفصیلات
- ڈویلپرز
- مشکل
- ڈائریکٹریز
- انکشاف
- دریافت
- دریافت
- نیچے
- چھوڑ
- آسانی سے
- آسان
- یا تو
- Emsisoft
- کو چالو کرنے کے
- حوصلہ افزائی
- انٹرپرائز
- انٹرپرائز سیکیورٹی
- انٹرپرائز گریڈ
- ماحولیات
- فرار ہونے میں
- بھی
- سب کچھ
- پھانسی
- دھماکہ
- استحصال کیا۔
- گر
- دور
- فائل
- فائلوں
- مل
- درست کریں
- مقرر
- غلطی
- خامیوں
- کے لئے
- پہلے
- سے
- مکمل
- حاصل کرنا
- دے دو
- فراہم کرتا ہے
- اچھا
- گروپ
- گروپ کا
- ہے
- he
- سر
- اس کی
- ہائی
- تاریخ
- HTTPS
- i
- شناختی
- if
- فوری طور پر
- in
- شامل
- شامل ہیں
- موصولہ
- اشارہ
- افراد
- معلومات
- غیر محفوظ
- نصب
- بات چیت
- انٹرفیس
- انوینٹری
- مسئلہ
- جاری
- مسائل
- IT
- میں
- جاوا سکرپٹ
- فوٹو
- بچے
- مرحوم
- لیک
- سطح
- لیوریج
- لیورنگنگ
- کی طرح
- مقامات
- برقرار رکھنے کے
- بنانا
- مینیجر
- انداز
- بہت سے
- زیادہ سے زیادہ
- مئی..
- درمیانہ
- طریقہ
- مائیکروسافٹ
- دس لاکھ
- تخفیف
- ماڈیول
- کی نگرانی
- نگرانی
- ماہ
- سب سے زیادہ
- منتقل
- قریب
- خالص
- نیٹ ورک
- نئی
- نیا
- نہیں
- of
- on
- ایک
- صرف
- کھول
- کام
- آپریٹنگ سسٹم
- آپریشنز
- or
- تنظیمیں
- دیگر
- دیگر
- ہمارے
- باہر
- گزرنا
- باہر
- پر
- راستہ
- لوگ
- انجام دیں
- کی منصوبہ بندی
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوسٹ
- حال (-)
- پہلے
- مصنوعات
- حاصل
- پروگرام
- پیش رفت
- حفاظت
- عوامی طور پر
- جلدی سے
- ransomware کے
- تیزی سے
- پڑھنا
- حال ہی میں
- سفارش کی
- نسبتا
- جاری
- ریموٹ
- رپورٹ
- درخواست
- درخواستوں
- ضرورت
- تحقیق
- محققین
- باقی
- امیر
- چل رہا ہے
- s
- کہا
- اسی
- کا کہنا ہے کہ
- اسکین
- سکور
- تلاش کریں
- تلاش
- دوسری
- ثانوی
- محفوظ بنانے
- سیکورٹی
- دیکھا
- سات
- سرور
- سروس
- شدید
- ہونا چاہئے
- نشانیاں
- اسی طرح
- بعد
- چھ
- So
- اب تک
- سافٹ ویئر کی
- کچھ
- مخصوص
- کمرشل
- شروع کریں
- بیان
- مراحل
- ساخت
- اس طرح
- تائید
- کے نظام
- سسٹمز
- ھدف بندی
- ٹیم
- ٹیموں
- ٹیکنالوجی
- ٹیسٹ
- سے
- کہ
- ۔
- ان
- ان
- تو
- وہاں.
- یہ
- وہ
- اس
- اس ہفتے
- وقت
- کرنے کے لئے
- اوزار
- ٹریکنگ
- منتقل
- منتقلی
- ٹویٹر
- دو
- عام طور پر
- غیر مجاز
- بے نقاب
- کے تحت
- بنیادی
- اپ ڈیٹ کریں
- اپ ڈیٹ
- اپ گریڈ
- پر زور دیا
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- کا استعمال کرتے ہوئے
- تصدیق
- ورژن
- ورژن
- وکٹم
- نقصان دہ
- خطرے کا سامنا
- قابل اطلاق
- چاہتا ہے
- تھا
- راستہ..
- we
- ہفتے
- اچھا ہے
- جس
- جبکہ
- گے
- ساتھ
- بغیر
- نہیں
- X
- XSS
- زیفیرنیٹ