Exploração disponível para falha crítica do WS_FTP explorada em ataques
3 de Outubro de 2023

Durante o fim de semana, pesquisadores de segurança lançaram um exploit de prova de conceito (PoC) para uma vulnerabilidade de execução de código remoto de severidade máxima na plataforma de compartilhamento de arquivos WS_FTP Server da Progress Software.

Os pesquisadores da Assetnote que descobriram e relataram a falha de severidade máxima ( CVE-2023-40044 ) publicaram um post no blog com um exploit PoC e detalhes técnicos adicionais no sábado.

CVE-2023-40044 é causado por uma vulnerabilidade de desserialização .NET no Módulo de Transferência Ad Hoc, permitindo que atacantes não autenticados executem comandos remotamente no sistema operacional subjacente por meio de uma simples solicitação HTTP.

"Esta vulnerabilidade acabou sendo relativamente direta e representou um problema típico de desserialização .NET que levou ao RCE.

É surpreendente que este bug tenha permanecido vivo por tanto tempo, com o fornecedor afirmando que a maioria das versões do WS_FTP são vulneráveis", disse a Assetnote.

"De nossa análise do WS_FTP, descobrimos que existem cerca de 2,9 mil hosts na internet que estão rodando WS_FTP (e também têm seu servidor web exposto, o que é necessário para exploração).

A maioria desses ativos online pertence a grandes empresas, governos e instituições educacionais."

Uma pesquisa no Shodan confirma as estimativas da Assetnote, mostrando que mais de 2.000 dispositivos rodando o servidor WS_FTP podem ser atualmente acessados pela Internet.

No dia em que o exploit PoC foi lançado, a empresa de cibersegurança Rapid7 também revelou que os atacantes começaram a explorar o CVE-2023-40044 na noite de sábado, 30 de setembro.

"A partir de 30 de setembro, a Rapid7 observou várias instâncias de exploração do WS_FTP na natureza", disse Caitlin Condon, Chefe de Pesquisa de Vulnerabilidades na Rapid7.

"A cadeia de execução do processo parece a mesma em todas as instâncias observadas, indicando possível exploração em massa de servidores WS_FTP vulneráveis.

"Além disso, nossa equipe MDR observou o mesmo domínio Burpsuite usado em todos os incidentes, o que pode indicar um único ator de ameaças por trás da atividade que vimos."

A Progress Software lançou atualizações de segurança para remediar a vulnerabilidade crítica CVE-2023-40044 na quarta-feira, 27 de setembro.

"Nós resolvemos as vulnerabilidades acima e a equipe do Progress WS_FTP recomenda fortemente a realização de uma atualização", a Progress advertiu na época.

"Recomendamos a atualização para a versão mais alta, que é a 8.8.2.

A atualização para uma versão corrigida, usando o instalador completo, é a única maneira de remediar este problema.

As organizações que não podem corrigir seus servidores imediatamente ainda podem frustrar ataques futuros desativando o módulo de transferência ad hoc vulnerável do servidor WS_FTP.

Na sexta-feira, o Centro de Coordenação de Cibersegurança do Setor de Saúde (HC3), equipe de segurança do Departamento de Saúde dos EUA, também alertou todas as organizações do setor de Saúde e Saúde Pública a corrigirem seus servidores o mais rápido possível.

A Progress Software ainda está lidando com as consequências de uma extensa série de ataques de roubo de dados que exploraram um zero-day na plataforma de transferência segura de arquivos MOVEit Transfer e afetou mais de 2.100 organizações e mais de 62 milhões de pessoas, de acordo com estimativas da Emsisoft.

Atualização 02 de outubro, 13:33 EDT: Um porta-voz da Progress compartilhou a seguinte declaração após a publicação do artigo:

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...