Aktívne zneužívaná zraniteľnosť v platforme ProjectSend

Bezpečnostní výskumníci zo spoločnosti VulnCheck varovali pred aktívnym zneužívaním kritickej zraniteľnosti v open source platforme pre zdieľanie súborov ProjectSend. CVE-2024-11680 možno zneužiť na vykonanie škodlivého kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• ProjectSend vo verziách starších ako r1720

Opis zraniteľnosti:

CVE-2024-11680 (CVSS skóre 9,8)

Kritická zraniteľnosť spočíva v nedostatočnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorených HTTP požiadaviek na options.php mohol zneužiť na zmenu konfigurácie aplikácie, vytváranie používateľských účtov, nahrávanie webshellov a injekciu škodlivého JavaScript kódu.

Pozn. Zraniteľnosť bola opravená už v máji 2023, ale nakoľko bol CVE identifikátor pridelený až v novembri 2024, veľké množstvo inštancií zostáva podľa výskumníkov zraniteľných. Zraniteľnosť je aktívne zneužívaná minimálne od septembra 2024.

Možné škody:

• Vykonávanie škodlivého kódu
• Neoprávnená zmena v systéme
• Získanie úplnej kontroly nad systémom

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verziu r1720 a novšiu.

Zneužitie zraniteľnosti na upload webshellu možno odhaliť preverením prítomnosti podozrivých .PHP súborov v priečinku /upload/files/. Zneužitie zraniteľnosti indikuje aj prítomnosť podozrivých textových reťazcov v názve domovskej stránky alebo neočakávaná aktivácia funkcie pre registráciu nových používateľov.

Zdroje:

• https://vulncheck.com/blog/projectsend-exploited-itw
• https://nvd.nist.gov/vuln/detail/CVE-2024-11680