Falha GRAVE no ProjectSend
28 de Novembro de 2024

Uma falha crítica de segurança que afeta o aplicativo de compartilhamento de arquivos de código aberto ProjectSend provavelmente entrou em exploração ativa, de acordo com descobertas da VulnCheck.

A vulnerabilidade, originalmente corrigida há mais de um ano e meio como parte de um commit feito em maio de 2023, não foi oficialmente disponibilizada até agosto de 2024 com o lançamento da versão r1720.

Desde 26 de novembro de 2024, ela recebeu o identificador CVE CVE-2024-11680 (pontuação CVSS: 9.8).

A Synacktiv, que reportou a falha aos mantenedores do projeto em janeiro de 2023, descreveu-a como uma verificação de autorização inadequada que permite a um atacante executar código malicioso em servidores suscetíveis.

"Uma verificação de autorização inadequada foi identificada na versão r1605 do ProjectSend que permite a um atacante realizar ações sensíveis como habilitar o registro de usuários e a autovalidação, ou adicionar novas entradas na lista de extensões permitidas para arquivos carregados," disse em um relatório publicado em julho de 2024.

Em última análise, isso permite a execução de código PHP arbitrário no servidor que hospeda a aplicação.

A VulnCheck disse que observou atores de ameaças desconhecidos visando servidores ProjectSend voltados ao público ao aproveitar o código de exploração lançado pela Project Discovery e Rapid7.

Acredita-se que as tentativas de exploração tenham começado em setembro de 2024.

Os ataques também foram encontrados para habilitar o recurso de registro de usuário para obter privilégios pós-autenticação para exploração subsequente, indicando que eles não se limitam a escanear por instâncias vulneráveis.

"Provavelmente estamos no território de 'atacantes instalando web shells' (tecnicamente, a vulnerabilidade também permite ao atacante embutir JavaScript malicioso, o que poderia ser um cenário de ataque interessante e diferente)," disse Jacob Baines da VulnCheck.

Se um atacante carregou um web shell, ele pode ser encontrado em uma localização previsível em upload/files/ fora da raiz da web.

Uma análise de cerca de 4.000 servidores ProjectSend expostos na internet revelou que apenas 1% deles está usando a versão corrigida (r1750), com todas as demais instâncias executando uma versão não nomeada ou a versão r1605, lançada em outubro de 2022.

Diante do que parece ser uma exploração generalizada, recomenda-se que os usuários apliquem as últimas correções o mais rápido possível para mitigar a ameaça ativa.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...