根据VulnCheck的调查结果,一个影响ProjectSend开源文件共享应用程序的关键安全漏洞很可能已被恶意利用。

该漏洞最初是在一年半前作为 2023 年 5 月推送的提交的一部分修补的,直到 2024 年 8 月发布 r1720 版本后才正式可用。截至 2024 年 11 月 26 日,该漏洞已被指定为 CVE 标识符 CVE-2024-11680(CVSS 得分:9.8)。

Synacktiv 于 2023 年 1 月向项目维护者报告了该漏洞,并将其描述为一个不当的授权检查,允许攻击者在易受影响的服务器上执行恶意代码。

该公司在 2024 年 7 月发布的一份报告中说:“在 ProjectSend r1605 版本中发现了一个不适当的授权检查,允许攻击者执行敏感操作,如启用用户注册和自动验证,或在上传文件允许扩展名的白名单中添加新条目。”

“最终,这允许在托管应用程序的服务器上执行任意 PHP 代码。”

VulnCheck 说,它观察到未知威胁行为者利用 Project Discovery 和 Rapid7 发布的漏洞利用代码,以面向公众的 ProjectSend 服务器为目标。据信,这些利用尝试始于 2024 年 9 月。

还发现这些攻击启用了用户注册功能,以获得认证后权限进行后续利用,这表明它们并不局限于扫描易受攻击的实例。

VulnCheck的Jacob Baines说:“我们很可能已经进入了‘攻击者安装网络外壳’的领域(从技术上讲,该漏洞也允许攻击者嵌入恶意JavaScript,这可能是一个有趣的、不同的攻击场景)。”

“如果攻击者上传了网络外壳,就可以在网络根目录下的 upload/files/ 中找到它。”

对大约 4000 台暴露在互联网上的 ProjectSend 服务器进行的分析表明,其中仅有 1%的服务器使用的是已打补丁的版本(r1750),其余所有实例运行的要么是未命名的版本,要么是 2022 年 10 月发布的 r1605 版本。

鉴于该漏洞似乎被广泛利用,建议用户尽快应用最新的补丁程序,以减轻主动威胁。

文章原文链接:https://www.anquanke.com/post/id/302270