ProjectSend sérülékenység aktív kihasználás alatt (CVE-2024-11680)
A ProjectSend egy nyílt forráskódú fájlmegosztó webes alkalmazás, amelyet úgy terveztek, hogy megkönnyítse a biztonságos, privát fájlátvitelt a szerveradminisztrátor és az ügyfelek között. A ProjectSend egy mérsékelten népszerű alkalmazás, amelyet olyan szervezetek használnak, amelyek a saját üzemeltetésű megoldásokat részesítik előnyben az olyan harmadik féltől származó szolgáltatásokkal szemben, mint a Google Drive és a Dropbox. A Censys jelentése szerint nagyjából 4000 nyilvános ProjectSend-példány van online, amelyek többsége sérülékeny – állítja a VulnCheck.
A kutatók konkrétan arról számoltak be, hogy a Shodan adatai alapján a kitett példányok 55%-a a 2022 októberében kiadott r1605-ös verziót futtatja, 44%-a egy 2023 áprilisában kiadott verziót, és mindössze 1%-a az r1750-es, javított verziót. A VulnCheck jelentése szerint a CVE-2024-11680 aktív kihasználását azonosították, amely túlmutat a tesztelésen, beleértve a rendszerbeállítások módosítását a felhasználói regisztráció lehetővé tétele érdekében, jogosulatlan hozzáférés megszerzését és webshell telepítését a kompromittált szerverek feletti ellenőrzés fenntartása érdekében.
A CVE-2024-11680 egy kritikus hitelesítési hiba, amely a ProjectSend r1720 előtti verzióit érinti, és lehetővé teszi a támadók számára, hogy speciálisan kialakított HTTP-kéréseket küldjenek az „options.php” fájlba az alkalmazás konfigurációjának módosítására. Bár a hibát 2023. május 16-án javították, csak 2024. november 26-án kapta meg a CVE-t, így a felhasználók nem tudtak a hiba súlyosságáról és a biztonsági frissítés alkalmazásának sürgősségéről.
A VulnCheck szerint a ProjectSend példányok 99%-a még mindig sérülékeny verziót futtat.