Небрежность или просчёт? Тысячи серверов ProjectSend под угрозой из-за несвоевременного патча

В популярном Open Source приложении для обмена файлами ProjectSend обнаружена серьёзная уязвимость, которая, по данным VulnCheck, активно используется злоумышленниками. Проблема затрагивает сервера, где установлен устаревший софт, и позволяет хакерам выполнять вредоносный код.

Уязвимость с идентификатором CVE-2024-11680 и критическим рейтингом опасности (CVSS: 9.8) была впервые исправлена в рамках коммита на GitHub ещё в мае 2023 года. Однако официальное обновление, закрывающее брешь, стало доступно только в августе 2024 года с выпуском версии r1720.

Компания Synacktiv, которая в январе 2023 года уведомила разработчиков ProjectSend о проблеме, описала уязвимость как недостаточную проверку авторизации. Это позволяет злоумышленникам включать регистрацию новых пользователей, изменять параметры в белом списке расширений загружаемых файлов и выполнять произвольный PHP-код.

С сентября 2024 года эксперты VulnCheck зафиксировали использование эксплойтов от Project Discovery и Rapid7 для атак на публично доступные серверы ProjectSend. Эти действия включают установку вредоносных веб-оболочек и другие атаки, такие как внедрение вредоносного JavaScript.

Исследователь Джейкоб Бейнс из VulnCheck отметил, что загруженные веб-оболочки могут размещаться в предсказуемых местах, таких как директория upload/files/ на сервере. Такой подход облегчает поиск и использование уязвимых ресурсов.

Анализ около 4 000 серверов, подключённых к интернету, показал, что лишь 1% из них использует актуальную безопасную версию ProjectSend. Большинство систем работает на устаревших релизах, включая версию r1605, выпущенную ещё в октябре 2022 года.

В связи с растущей угрозой эксперты рекомендуют как можно скорее установить обновления, чтобы защитить свои серверы от атак.