Tehdit aktörleri, web kabuklarını yüklemek ve sunuculara uzaktan erişim sağlamak için ProjectSend’deki kritik bir kimlik doğrulama atlama kusuru için genel açıklardan yararlanıyor.
CVE-2024-11680 olarak izlenen kusur, r1720’den önceki ProjectSend sürümlerini etkileyen kritik bir kimlik doğrulama hatasıdır ve saldırganların uygulamanın yapılandırmasını değiştirmek için ‘options.php’ye özel hazırlanmış HTTP istekleri göndermesine olanak tanır.
Başarılı bir şekilde yararlanma, hileli hesapların oluşturulmasına, web kabuklarının yerleştirilmesine ve kötü amaçlı JavaScript kodunun yerleştirilmesine olanak tanır.
Kusur 16 Mayıs 2023’te düzeltilmiş olsa da düne kadar ona bir CVE atanmamıştı ve bu durum, kullanıcıların hatanın ciddiyetinden ve güvenlik güncellemesini uygulamanın aciliyetinden habersiz kalmasına neden oluyordu.
Aktif istismarı tespit eden VulnCheck’e göre, yama uygulama hızı şu ana kadar çok düşük; ProjectSend örneklerinin %99’u hala savunmasız bir sürümü çalıştırıyor.
Binlerce örnek açığa çıktı
ProjectSend, sunucu yöneticisi ile istemciler arasında güvenli, özel dosya aktarımlarını kolaylaştırmak için tasarlanmış açık kaynaklı bir dosya paylaşım web uygulamasıdır.
Google Drive ve Dropbox gibi üçüncü taraf hizmetlere göre kendi kendine barındırılan çözümleri tercih eden kuruluşlar tarafından kullanılan orta derecede popüler bir uygulamadır.
VulnCheck, Censys’in çevrimiçi olarak halka açık yaklaşık 4.000 ProjectSend örneğinin bulunduğunu ve bunların çoğunun savunmasız olduğunu bildirdi.
Özellikle araştırmacılar, Shodan verilerine dayanarak, açığa çıkan bulut sunucularının %55’inin Ekim 2022’de yayımlanan r1605’i çalıştırdığını, %44’ünün Nisan 2023’e ait isimsiz bir sürümü kullandığını ve yalnızca %1’inin yamalı sürüm olan r1750’yi kullandığını bildirdi.
VulnCheck, CVE-2024-11680’in, kullanıcı kaydını etkinleştirmek için sistem ayarlarını değiştirmek, yetkisiz erişim elde etmek ve güvenliği ihlal edilmiş sunucular üzerinde kontrolü sürdürmek için web kabukları dağıtmak da dahil olmak üzere, yalnızca test etmenin ötesine geçen aktif bir şekilde istismar edildiğini bildiriyor.
Kaynak: VulnCheck
Bu etkinlik, Metasploit ve Nuclei’nin CVE-2024-11680 için genel açıkları yayınladığı Eylül 2024’ten bu yana arttı.
Raporda, “VulnCheck, halka açık ProjectSend sunucularının açılış sayfası başlıklarını uzun, rastgele dizelerle değiştirmeye başladığını fark etti” yazıyor.
“Bu uzun ve rastgele isimler, hem Nuclei hem de Metasploit’in güvenlik açığı testi mantığını uygulama şekliyle uyumludur.”
“Her iki istismar aracı da kurbanın yapılandırma dosyasını değiştirerek site adını (ve dolayısıyla HTTP başlığını) rastgele bir değerle değiştiriyor.”
GreyNoise, bu etkinliğe bağlı 121 IP’yi listeliyor ve bu da izole bir kaynak yerine yaygın girişimlerin olduğunu gösteriyor.
.jpg)
Kaynak: VulnCheck
VulnCheck, web kabuklarının ‘upload/files’ dizininde saklandığı ve adların POSIX zaman damgasından, kullanıcı adının SHA1 karmasından ve orijinal dosya adından/uzantısından oluşturulduğu konusunda uyarıyor.
Bu dosyalara web sunucusu üzerinden doğrudan erişim, aktif istismarın göstergesidir.
Araştırmacılar, saldırıların zaten yaygın olması nedeniyle ProjectSend r1750 sürümüne mümkün olan en kısa sürede yükseltmenin kritik olduğu konusunda uyarıyor.