Según los hallazgos de VulnCheck, es probable que una falla de seguridad crítica que afecta a la aplicación de intercambio de archivos de código abierto ProjectSend haya sido explotada activamente en la naturaleza.
La vulnerabilidad, parcheada originalmente hace más de un año y medio como parte de una confirmación impulsada en mayo de 2023, no estuvo disponible oficialmente hasta agosto de 2024 con el lanzamiento de la versión r1720. A partir del 26 de noviembre de 2024, se le ha asignado el identificador CVE CVE-2024-11680 (puntuación CVSS: 9,8).
Synacktiv, que informó de la falla a los encargados del proyecto en enero de 2023, la describió como una verificación de autorización inadecuada que permite a un atacante ejecutar código malicioso en servidores susceptibles.
“Se identificó una verificación de autorización inadecuada dentro de ProjectSend versión r1605 que permite a un atacante realizar acciones sensibles como habilitar el registro de usuario y la validación automática, o agregar nuevas entradas en la lista blanca de extensiones permitidas para archivos cargados”, dijo en un informe publicado en Julio de 2024.
“En última instancia, esto permite ejecutar código PHP arbitrario en el servidor que aloja la aplicación”.
VulnCheck dijo que observó actores de amenazas desconocidos que apuntaban a servidores ProjectSend de cara al público siendo atacados aprovechando el código de explotación publicado por Project Discovery y Rapid7. Se cree que los intentos de explotación comenzaron en septiembre de 2024.
También se ha descubierto que los ataques permiten que la función de registro de usuarios obtenga privilegios de autenticación posterior para una explotación posterior, lo que indica que no se limitan a escanear en busca de instancias vulnerables.
“Es probable que estemos en el territorio de los ‘atacantes que instalan shells web’ (técnicamente, la vulnerabilidad también permite al atacante incrustar JavaScript malicioso, lo que podría ser un escenario de ataque interesante y diferente)”, dijo Jacob Baines de VulnCheck.
“Si un atacante ha subido un shell web, se puede encontrar en una ubicación predecible en carga/archivos/fuera de webroot”.
Un análisis de los servidores ProjectSend expuestos a Internet ha revelado que solo el 1% de ellos utilizan la versión parcheada (r1750), y todas las instancias restantes ejecutan una versión sin nombre o la versión r1605, que salió en octubre de 2022.
A la luz de lo que parece ser una explotación generalizada, se recomienda a los usuarios que apliquen los parches más recientes lo antes posible para mitigar la amenaza activa.