在Cl0p勒索軟體組織利用MOVEit漏洞進行猛烈攻擊之後,Progress Software近日公告8個WS_FTP相關漏洞。WS_FTP檔案傳輸工具目前約4000萬人使用,與MOVEit一樣,是企業級軟體,組織使用它來實現系統、團隊、個人之間的安全檔案傳輸。
本次漏洞披露包括兩個最高嚴重程度和六個高度或中等嚴重程度的漏洞。最嚴重的漏洞允許在沒有任何使用者交互的情況下進行預先身份驗證的遠端程式碼執行(RCE)。
- CVE-2023-40044 (CRITICAL),CVSS: 10
- CVE-2023-42657 (CRITICAL),CVSS: 9.9
- CVE-2023-40045 (HIGH) ,CVSS: 8.3
- CVE-2023-40046 (HIGH) ,CVSS: 8.2
- CVE-2023-40047 (HIGH) ,CVSS: 8.3
- CVE-2023-40048 (MEDIUM) ,CVSS: 6.8
- CVE-2022-27665 (MEDIUM) ,CVSS: 6.1
- CVE-2023-40049 (MEDIUM) ,CVSS: 5.3
這些漏洞存在於WS_FTP Server Ad hoc傳輸模組和WS_FTP Server管理器介面中。
被追蹤為CVE-2023-40044的最高嚴重性漏洞影響8.7.4和8.8.2之前的WS_FTP Server版本,並且如上所述,攻擊者可以在受影響的系統上獲得預身份驗證RCE。Progress將該問題描述為.NET序列化漏洞,是一種常見的錯誤,應用程式以不安全的方式處理請求有效負載。此類漏洞可能導致拒絕服務攻擊、資訊洩露和遠端程式碼執行。
另一個嚴重漏洞是8.7.4和8.8.2之前的WS_FTP Server版本中的目錄遍歷漏洞CVE-2023-42657。
Progress警告,攻擊者可以利用此漏洞對其授權WS_FTP資料夾路徑之外的檔案和資料夾執行檔操作(刪除、重命名、rmdir、mkdir)。攻擊者還可以逃脫WS_FTP伺服器檔結構的上下文,並對底層作業系統上的檔和資料夾位置執行相同級別的操作(刪除、重命名、rmdir、mkdir)。目錄遍歷漏洞或路徑遍歷為攻擊者提供訪問未經授權的檔案和目錄的途徑。
CVE-2023-40045和CVE-2023-40047是允許執行惡意JavaScript的跨網站腳本XSS漏洞。中等安全性漏洞包括CVE-2023-40048、跨站請求偽造(CSRF)漏洞;以及CVE-2023-40049、資訊洩露問題等。
Progres表示,到目前為止尚未發現針對任何漏洞的利用跡象。Progress已經發佈了修復程式,用戶應立即更新。使用完整安裝程式升級到修補版本是解決此問題的唯一方法。
資安專家表示,WF_FTP有著悠久的歷史,通常是IT和開發人員中使用。由於運行的WS_FTP版本通常會打開傳入埠來接受連接請求,因此使用網路監控工具來發現漏洞攻擊並不困難。
Progress已修復漏洞並為所有受影響的產品發佈了特定於版本的修補程式。該公司敦促客戶立即更新或應用其建議的緩解措施;Progress希望使用不受支援的WS_FTP版本的組織也儘快升級到受支持的固定版本,以避免類似MOVEit攻擊事件再次發生。
自5月27日起,Clop勒索軟體團夥利用MOVEit Transfer安全檔案傳輸平臺中的零日漏洞,並發起了一系列的資料盜竊攻擊。到目前為止,已有超過2,100個組織成為利用該漏洞攻擊的受害者,其中許多是由Cl0p勒索軟體組織發起的。
本文轉載自Darkreading,圖自konbriefing。