11月27日,威胁行为者正在利用 ProjectSend 中一个严重的身份验证绕过漏洞的公开漏洞来上传 Webshell 并获取服务器的远程访问权限。该漏洞编号为 CVE-2024-11680,远程未经身份验证的攻击者可以通过向 options.php 发送精心设计的 HTTP 请求来利用此漏洞,从而在未经授权的情况下修改应用程序的配置。成功利用此漏洞后,攻击者可嵌入恶意代码、开启创建帐户功能并上传 webshell。
虽然该漏洞已于 2023 年 5 月 16 日修复,但直至近日才被分配 CVE ,导致用户并未意识到其严重性以及应用安全更新的紧迫性。据检测到主动攻击的 VulnCheck 称,迄今为止修补速度非常慢,99% 的 ProjectSend 实例仍在运行存在漏洞的版本。
ProjectSend 是一个开源文件共享网络应用程序,旨在促进服务器管理员和客户端之间的安全、私密文件传输。它是一款相当流行的应用程序,被那些喜欢自托管解决方案而不是 Google Drive 和 Dropbox 等第三方服务的组织所使用。
VulnCheck 称,Censys 报告称,在线面向公众的 ProjectSend 实例大约有 4,000 个,其中大多数都存在漏洞。具体而言,研究人员报告称,基于 Shodan 数据,55% 的暴露实例运行 2022 年 10 月发布的 r1605,44% 使用 2023 年 4 月的未命名版本,只有 1% 使用修补版本 r1750。自 2024 年 9 月 Metasploit 和 Nuclei 发布 CVE-2024-11680 的公开漏洞利用以来,此类活动有所增加。
VulnCheck 警告称,Webshell 存储在“upload/files”目录中,其名称由 POSIX 时间戳、用户名的 SHA1 哈希值和原始文件名/扩展名生成。通过网络服务器直接访问这些文件表明存在主动攻击行为。
研究人员警告,尽快升级到 ProjectSend 版本 r1750 至关重要,因为攻击可能已经广泛传播。
参考链接:
https://www.bleepingcomputer.com/news/security/hackers-exploit-projectsend-flaw-to-backdoor-exposed-servers/
3.
Array Networks AG 和 vxAG ArrayOS 身份认证绕过漏洞(CVE-2023-28461)
11月25日,美国网络防御机构收到证据表明黑客正在积极利用 SSL VPN 产品 Array Networks AG 和 vxAG ArrayOS 中的远程代码执行漏洞。该安全问题被追踪为 CVE-2023-28461,并被分配了 9.8 的严重性评分,该机构已将其列入已知利用漏洞 (KEV) 目录中。
该漏洞可通过易受攻击的 URL 利用,是一个不当的身份验证问题,允许在 Array AG 系列和 vxAG 9.4.0.481 及更早版本中执行远程代码。该漏洞于去年 3 月 9 日被披露,Array Networks 在大约一周后发布了 Array AG 9.4.0.484 版本并进行了修复。
Array Networks AG 系列(硬件设备)和 vxAG 系列(虚拟设备)是 SSL VPN 产品,可提供对企业网络、企业应用程序和云服务的安全远程和移动访问。据该供应商称,它们被全球超过 5,000 个客户使用,其中包括企业、服务提供商和政府机构。
CISA 尚未提供有关谁在利用该漏洞以及目标组织的任何详细信息,但“基于主动利用的证据”将其添加到已知被利用漏洞 ( KEV ) 目录中。
受影响产品的安全更新可通过 Array 支持门户获取。如果无法立即安装更新,供应商还在安全公告中提供了一组命令来缓解漏洞。然而,组织应该首先测试这些命令的效果,因为它们可能会对客户端安全的功能、VPN 客户端的自动升级能力以及门户用户资源功能产生负面影响。
参考链接:
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-bug-in-array-networks-ssl-vpn-products/
