Ataques de ransomware agora visam servidores WS_FTP não atualizados
13 de Outubro de 2023

Servidores WS_FTP expostos à Internet sem correção contra uma vulnerabilidade de máxima severidade agora são alvo de ataques ransomware.

Como recentemente observado pelos respondedores de incidentes Sophos X-Ops, atores de ameaças autodescritos como o Grupo de Crime Cibernético do Reichsadle.r tentaram, sem sucesso, implantar payloads do ransomware criadas usando um construtor LockBit 3.0 roubado em setembro de 2022.

"Os atores do ransomware não esperaram muito para abusar da vulnerabilidade recentemente relatada no software WS_FTP Server", disse a Sophos X-Ops.

"Embora a Progress Software tenha lançado uma correção para esta vulnerabilidade em setembro de 2023, nem todos os servidores foram corrigidos.

A Sophos X-Ops observou tentativas infrutíferas de implantar ransomware através dos serviços sem correção".

Os agressores tentaram escalar privilégios usando a ferramenta de código aberto GodPotato, que permite a escalada de privilégios para 'NT AUTHORITY\SYSTEM' nas plataformas cliente (Windows 8 a Windows 11) e servidor (Windows Server 2012 a Windows Server 2022).

Felizmente, a tentativa deles de implantar as payloads do ransomware nos sistemas da vítima foi frustrada, impedindo os atacantes de criptografar os dados do alvo.

Mesmo falhando em criptografar os arquivos, os atores de ameaças ainda exigiram um resgate de 500 dólares, a ser pago até 15 de outubro, horário padrão de Moscou.

A baixa demanda de resgate sugere que servidores WS_FTP expostos à internet e vulneráveis ​​provavelmente estão sendo alvo de ataques automatizados em massa ou por uma operação de ransomware inexperiente.

Rastreada como CVE-2023-40044 , a falha é causada por uma vulnerabilidade de deserialização .NET no Módulo de Transferência Ad Hoc, permitindo que atacantes não autenticados executem comandos no sistema operacional subjacente via solicitações HTTP remotamente.

Em 27 de setembro, a Progress Software lançou atualizações de segurança para resolver a vulnerabilidade crítica do WS_FTP Server, instando os administradores a atualizar as instâncias vulneráveis.

"Aconselhamos a atualização para a versão mais recente, que é a 8.8.2.

A atualização para uma versão corrigida, usando o instalador completo, é a única maneira de remediar esse problema", disse o Progress.

Pesquisadores de segurança da Assetnote, que descobriram o bug do WS_FTP, divulgaram o código de exploração de prova de conceito (PoC) poucos dias após ser corrigido.

"Em nossa análise do WS_FTP, descobrimos que há cerca de 2.9k hosts na internet que estão usando WS_FTP (e também têm o servidor web exposto, o que é necessário para a exploração).

A maioria desses ativos online pertence a grandes empresas, governos e instituições educacionais", disse a Assetnote.

A empresa de cibersegurança Rapid7 revelou que os atacantes começaram a explorar o CVE-2023-40044 em 3 de setembro, o dia em que o exploit PoC foi lançado.

"A cadeia de execução do processo parece a mesma em todos os casos observados, indicando possível exploração em massa de servidores WS_FTP vulneráveis", alertou a Rapid7.

O Shodan lista quase 2.000 dispositivos expostos à Internet que executam o software do servidor WS_FTP, confirmando as estimativas iniciais da Assetnote.

As organizações que não conseguem corrigir imediatamente os servidores podem bloquear ataques de entrada desativando o Módulo de Transferência Ad Hoc do Servidor WS_FTP vulnerável.

O Centro de Coordenação de Cibersegurança do Setor de Saúde (HC3), a equipe de segurança do Departamento de Saúde dos EUA, também alertou as organizações do setor de Saúde Pública e Saúde no mês passado para corrigir seus servidores o mais rápido possível.

A Progress Software está atualmente lidando com as consequências de uma série ampla de ataques de roubo de dados que exploraram um bug de zero-day em sua plataforma de transferência de arquivos segura MOVEit Transfer no início deste ano.

Esses ataques afetaram mais de 2.500 organizações e mais de 64 milhões de indivíduos, conforme estimado pela Emsisoft.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...