Uma falha crítica de segurança que afeta o aplicativo de compartilhamento de arquivos de código aberto ProjectSend provavelmente entrou em exploração ativa, de acordo com descobertas da VulnCheck.
A vulnerabilidade, originalmente corrigida há mais de um ano e meio como parte de um commit feito em maio de 2023, não foi oficialmente disponibilizada até agosto de 2024 com o lançamento da versão r1720.
Desde 26 de novembro de 2024, ela recebeu o identificador CVE CVE-2024-11680 (pontuação CVSS: 9.8).
A Synacktiv, que reportou a falha aos mantenedores do projeto em janeiro de 2023, descreveu-a como uma verificação de autorização inadequada que permite a um atacante executar código malicioso em servidores suscetíveis.
"Uma verificação de autorização inadequada foi identificada na versão r1605 do ProjectSend que permite a um atacante realizar ações sensíveis como habilitar o registro de usuários e a autovalidação, ou adicionar novas entradas na lista de extensões permitidas para arquivos carregados," disse em um relatório publicado em julho de 2024.
Em última análise, isso permite a execução de código PHP arbitrário no servidor que hospeda a aplicação.
A VulnCheck disse que observou atores de ameaças desconhecidos visando servidores ProjectSend voltados ao público ao aproveitar o código de exploração lançado pela Project Discovery e Rapid7.
Acredita-se que as tentativas de exploração tenham começado em setembro de 2024.
Os ataques também foram encontrados para habilitar o recurso de registro de usuário para obter privilégios pós-autenticação para exploração subsequente, indicando que eles não se limitam a escanear por instâncias vulneráveis.
"Provavelmente estamos no território de 'atacantes instalando web shells' (tecnicamente, a vulnerabilidade também permite ao atacante embutir JavaScript malicioso, o que poderia ser um cenário de ataque interessante e diferente)," disse Jacob Baines da VulnCheck.
Se um atacante carregou um web shell, ele pode ser encontrado em uma localização previsível em upload/files/ fora da raiz da web.
Uma análise de cerca de 4.000 servidores ProjectSend expostos na internet revelou que apenas 1% deles está usando a versão corrigida (r1750), com todas as demais instâncias executando uma versão não nomeada ou a versão r1605, lançada em outubro de 2022.
Diante do que parece ser uma exploração generalizada, recomenda-se que os usuários apliquem as últimas correções o mais rápido possível para mitigar a ameaça ativa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...