Bilgisayar korsanları, popüler bir açık kaynaklı dosya paylaşım web uygulaması olan ProjectSend’deki kritik bir kimlik doğrulama güvenlik açığından aktif olarak yararlanıyor.
Artık CVE-2024-11680 olarak tanımlanan güvenlik açığı, uzak, kimliği doğrulanmamış saldırganların kimlik doğrulamayı atlamasına ve uygulamanın yapılandırmasını değiştirmesine olanak tanıyarak, potansiyel olarak yetkisiz hesap oluşturulmasına, web kabuğu yüklemelerine ve kötü amaçlı JavaScript enjeksiyonuna yol açabilir.
Yamanın 16 Mayıs 2023’ten bu yana mevcut olmasına rağmen, CVE yalnızca 26 Kasım 2024’te atandı ve birçok sistem bir yıldan fazla bir süre boyunca açıkta kaldı.
Bir CVE Numaralandırma Yetkilisi olan Rapid7’nin bu güvenlik açığına yönelik bir Metasploit modülü zaten yayınlamış olması göz önüne alındığında, CVE atamasındaki gecikme özellikle dikkat çekicidir.
VulnCheck’teki güvenlik araştırmacıları vahşi doğada sömürünün açık işaretlerini gözlemlediler. Herkese açık ProjectSend sunucularının, hem Nuclei hem de Metasploit istismar araçlarının davranışlarıyla tutarlı olarak değiştirilmiş açılış sayfası başlıklarına sahip olduğu tespit edildi.
Teknik Analiz
Bu araçlar, site adını değiştirmek için kurbanın yapılandırma dosyasını değiştirerek HTTP başlıklarında uzun, rastgele benzeri dizelerin görünmesine neden olur.
Daha da endişe verici olanı, saldırganların kendilerini yalnızca güvenlik açığı testleriyle sınırlamamasıdır. VulnCheck, saldırganların kimlik doğrulama sonrası ayrıcalıklar kazanmasına olanak tanıyan, varsayılan olmayan bir yapılandırma olan kullanıcı kayıt ayarlarının yaygın şekilde etkinleştirildiğini belirtti.
Bu, kötü niyetli aktörlerin muhtemelen test etmenin ötesine geçtiğini ve potansiyel olarak web kabukları yüklediğini veya kötü amaçlı JavaScript yerleştirdiğini gösteriyor. Güvenlik açığının etkisi, yama benimseme oranlarının düşük olması nedeniyle daha da kötüleşiyor.
VulnCheck’in internete yönelik ProjectSend örneklerine ilişkin analizi yalnızca %1’inin yamalı sürümü (r1750) çalıştırdığını ortaya çıkardı. Şaşırtıcı bir şekilde %55’i hâlâ Ekim 2022’de yayımlanan güvenlik açığı bulunan r1605 sürümünü kullanırken, %44’ü Nisan 2023’ten itibaren isimsiz bir sürümü kullanıyor.
.webp)
Olayların zaman çizelgesi, mevcut istismarlar ve yamaların benimsenme oranının düşük olması göz önüne alındığında, güvenlik uzmanları istismarın muhtemelen yaygın olduğuna ve yakın gelecekte önemli ölçüde artabileceğine inanıyor.
.webp)
Güvenlik açığı, saldırganların options.php dosyasına hazırlanmış HTTP istekleri göndermesine olanak tanıyarak uygulamanın yapılandırmasında izinsiz değişiklik yapılmasını mümkün kılıyor.
ProjectSend kullanan kuruluşların, bu kritik güvenlik riskini azaltmak için derhal r1720 veya sonraki bir sürüme yükseltmeleri önemle tavsiye edilir.
Ek olarak, güvenlik ekipleri olası riskleri tespit etmek için risk durumlarını değerlendirmeli, gerekli iyileştirmeleri uygulamalı ve kapsamlı olay müdahale faaliyetleri yürütmelidir.
Bu olay, hızlı yama uygulamasının önemini ve güvenlik açığı açıklama ve CVE atama süreçlerinde daha iyi koordinasyon ihtiyacını vurgulamaktadır.
Tehdit ortamı gelişmeye devam ederken, tetikte olmak ve güncel güvenlik önlemlerini sürdürmek her büyüklükteki kuruluş için hayati önem taşıyor.