Το περασμένο Σαββατοκύριακο, ερευνητές ασφαλείας δημοσίευσαν ένα Proof of Concept (PoC) exploit για μια πολύ σοβαρή ευπάθεια στην πλατφόρμα κοινής χρήσης αρχείων WS_FTP Server της Progress Software. Αυτή η ευπάθεια επιτρέπει την εκτέλεση κώδικα απομακρυσμένα.
Οι ερευνητές της Assetnote που ανακάλυψαν και ανέφεραν την ευπάθεια (CVE-2023-40044), δημοσίευσαν μια ανάρτηση με ένα PoC exploit και πρόσθετες τεχνικές λεπτομέρειες.
Το CVE-2023-40044 προκαλείται από μια ευπάθεια deserialization .NET στο Ad Hoc Transfer Module, που επιτρέπει στους μη εξουσιοδοτημένους εισβολείς να εκτελούν εξ αποστάσεως εντολές στο υποκείμενο λειτουργικό σύστημα, μέσω ενός απλού αιτήματος HTTP.
“Αυτή η ευπάθεια αποδείχθηκε ότι ήταν σχετικά απλή και αντιπροσώπευε ένα .NET deserialization ζήτημα που οδήγησε σε RCE. Είναι εκπληκτικό το γεγονός ότι αυτό το σφάλμα παρέμεινε “ζωντανό” για τόσο μεγάλο χρονικό διάστημα, με τον προμηθευτή να δηλώνει ότι οι περισσότερες εκδόσεις του WS_FTP είναι ευάλωτες“, είπε η Assetnote.
Δείτε επίσης: TeamCity RCE: Συμμορίες ransomware εκμεταλλεύονται κρίσιμο ελάττωμα
“Από την ανάλυσή μας για το WS_FTP, διαπιστώσαμε ότι υπάρχουν περίπου 2,9 χιλιάδες κεντρικοί υπολογιστές στο διαδίκτυο που εκτελούν WS_FTP (και έχουν επίσης εκτεθειμένο τον webserver τους, κάτι που είναι απαραίτητο για την εκμετάλλευση). Τα περισσότερα από αυτά τα διαδικτυακά assets ανήκουν σε μεγάλες επιχειρήσεις, κυβερνήσεις και Εκπαιδευτικά ιδρύματα“, τονίζουν οι ερευνητές.
Μια αναζήτηση στο Shodan επιβεβαιώνει ότι περισσότερες από 2.000 συσκευές που χρησιμοποιούν το WS_FTP Server, είναι προσβάσιμες μέσω Διαδικτύου.
Επιθέσεις μετά την κυκλοφορία του exploit
Από τη στιγμή που κυκλοφόρησε το PoC exploit, το Σάββατο, η εταιρεία κυβερνοασφάλειας Rapid7 αποκάλυψε προσπάθειες εκμετάλλευσης της ευπάθειας.
“Από τις 30 Σεπτεμβρίου, η Rapid7 έχει παρατηρήσει πολλαπλές περιπτώσεις εκμετάλλευσης του WS_FTP“, δήλωσε η Caitlin Condon, Επικεφαλής Έρευνας ευπαθειών στη Rapid7.
Παρατηρώντας τον τρόπο επίθεσης, οι ερευνητές πιστεύουν ότι πρόκειται για μαζική εκμετάλλευση ευάλωτων WS_FTP servers. Οι ειδικοί παρατήρησαν, ακόμα, το ίδιο Burpsuite domain σε όλα τα περιστατικά “γεγονός που μπορεί να υποδεικνύει έναν μεμονωμένο παράγοντα απειλής πίσω από τη δραστηριότητα που έχουμε δει“.
Αξίζει να σημειωθεί ότι η Progress Software κυκλοφόρησε ενημερώσεις ασφαλείας για τη διόρθωση της ευπάθειας CVE-2023-40044 την Τετάρτη 27 Σεπτεμβρίου.
Δείτε επίσης: Arm: Προειδοποιεί για ελαττώματα στο Mali GPU
“Συνιστούμε την αναβάθμιση στην υψηλότερη έκδοση που είναι η 8.8.2. Η αναβάθμιση σε μια ενημερωμένη έκδοση, χρησιμοποιώντας το πλήρες πρόγραμμα εγκατάστασης, είναι ο μόνος τρόπος για να διορθώσετε αυτό το πρόβλημα“, είχε πει τότε η εταιρεία.
Σε περίπτωση που κάποιος δεν μπορεί να εφαρμόσει άμεσα την ενημέρωση, μπορεί να απενεργοποιήσει το ευάλωτο WS_FTP Server Ad Hoc Transfer Module, για να μειώσει τον κίνδυνο επίθεσης.
Το πρόβλημα είναι ότι οι ερευνητές κυκλοφόρησαν πολύ γρήγορα ένα exploit, και οι επιτιθέμενοι άρχισαν να το εκμεταλλεύονται, ενώ πολλοί οργανισμοί μπορεί να μην έχουν προλάβει να εφαρμόσουν το patch που κυκλοφόρησε η Progress Software την περασμένη εβδομάδα.
Όπως είπε και εκπρόσωπος της Progress στο BleepingComputer:
“Είμαστε απογοητευμένοι από το πόσο γρήγορα κυκλοφόρησαν ένα POC exploit μετά την αποκάλυψη ευπάθειας και την ενημέρωση κώδικα, που κυκλοφόρησε στις 27 Σεπτεμβρίου. Αυτό παρείχε στους φορείς απειλών έναν οδηγό για το πώς να εκμεταλλευτούν τα τρωτά σημεία, ενώ πολλοί από τους πελάτες μας ήταν ακόμη στη διαδικασία εφαρμογής της ενημέρωσης.
Δεν γνωρίζουμε κανένα στοιχείο που να αποδεικνύει ότι αυτά τα τρωτά σημεία είχαν γίνει αντικείμενο εκμετάλλευσης πριν από αυτήν την κυκλοφορία. Δυστυχώς, με τη δημιουργία και την κυκλοφορία ενός POC αμέσως μετά την κυκλοφορία της ενημέρωσης κώδικα, δόθηκε στους εγκληματίες του κυβερνοχώρου ένα εργαλείο για να επιχειρήσουν επιθέσεις κατά των πελατών μας. Ενθαρρύνουμε όλους τους πελάτες του WS_FTP server να επιδιορθώσουν το περιβάλλον τους όσο το δυνατόν γρηγορότερα.
Η ασφάλεια των πελατών μας είναι η κορυφαία προτεραιότητά μας και συνεχίζουμε να εργαζόμαστε με τους πελάτες μας και τους υπεύθυνους εμπειρογνώμονες για να ανακαλύψουμε, να αποκαλύψουμε σωστά και να επιλύσουμε τυχόν προβλήματα. Ελπίζουμε ότι η κοινότητα θα αποθαρρύνει την ανεύθυνη δημοσίευση των POC αμέσως μετά την κυκλοφορία των ενημερώσεων κώδικα ασφαλείας από προμηθευτές λογισμικού“.
Δείτε επίσης: Exim: Διορθώνει τρεις zero-day ευπάθειες
Το PoC (Proof of Concept) exploit αποτελεί μια επίδειξη των πραγματικών δυνατοτήτων μιας ευπάθειας και συνήθως χρησιμοποιείται από ερευνητές ασφαλείας για να δείξουν πώς ένα συγκεκριμένο κενό ασφαλείας μπορεί να χρησιμοποιηθεί για να προκαλέσει πρόβλημα στα ευάλωτα συστήματα. Τα PoC exploits είναι χρήσιμα εργαλεία για την εκπαίδευση και την ευαισθητοποίηση στην ασφάλεια, αλλά μπορούν επίσης να αποτελέσουν κίνδυνο γιατί μπορεί να τα χρησιμοποιήσουν οι εγκληματίες του κυβερνοχώρου για να εκμεταλλευτούν μια ευπάθεια. Η κυκλοφορία των PoC exploits ενισχύει την ανάγκη για τακτικές ενημερώσεις.
Πηγή: www.bleepingcomputer.com
 exploit για μια πολύ σοβαρή ευπάθεια στο WS_FTP Server){kind=link}