Poucos dias após o lançamento de patches para uma falha crítica de pré-autenticação no produto de servidor WS_FTP da Progress Software, especialistas em segurança detectaram exploração ativa em liberdade contra múltiplos ambientes alvo.
O fornecedor de segurança cibernética Rapid7 deu o alarme no fim de semana depois de detectar casos de exploração ao vivo da vulnerabilidade WS_FTP em vários ambientes de clientes.
De acordo com Caitlin Condon, chefe de pesquisa de vulnerabilidades da Rapid7, a vulnerabilidade CVE-2023-40044 fácil de explorar é já está na mira de invasores que tentam explorar em massa servidores WS_FTP vulneráveis.
“A cadeia de execução do processo parece a mesma em todas as instâncias observadas, indicando uma possível exploração em massa de servidores WS_FTP vulneráveis. Ademais, nossa equipe de MDR observou o mesmo domínio Burp Suite usado em todos os incidentes, o que pode apontar para um único agente de ameaça por trás da atividade que vimos”, disse Condon.
A falha de gravidade crítica, que carrega uma pontuação CVSS de 10/10, pode ser acionada por invasores pela Internet e afeta todas as versões do servidor WS_FTP anteriores a 8.7.4 e 8.8.2
A Assetnote, empresa de pesquisa que descobriu o problema, alerta que a falha afeta todo o componente Ad Hoc Transfer do WS_FTP. “Foi um pouco chocante termos conseguido chegar ao coletor de desserialização sem qualquer autenticação”, disse a empresa em um comunicado. observação documentando as descobertas.
“O problema descoberto em Progress WS_FTP estava dentro de um módulo HTTP chamado MeuFileUpload.UploadModule. Este módulo HTTP é responsável por _todos_ uploads de arquivos feitos no aplicativo AHT. Foi incrível ver todas as funcionalidades de upload de arquivos sendo implementadas dentro de um módulo HTTP, pois nossa crença como engenheiros é que os módulos HTTP não devem ser responsáveis pela funcionalidade de upload de arquivos (especialmente considerando que os módulos HTTP são executados literalmente em cada ciclo de solicitação)”, acrescentou Assetnote. .
A Assetnote disse que encontrou quase 3.000 hosts na Internet que executam WS_FTP com um servidor web exposto e observou que a maioria dos ativos expostos pertence a grandes empresas, governos e instituições educacionais.
A equipe de resposta de segurança da Progress Software se viu lutando para responder a uma onda de ataques de ransomware debilitantes que exploraram falhas de dia zero em seu produto de software de transferência gerenciada de arquivos MOVEit.
No início deste ano, a empresa lançou patches para cobrir pelo menos três vulnerabilidades críticas e anunciou planos para lançar service packs regulares com um “processo previsível, simples e transparente para correções de produtos e segurança”.
Os fornecedores de software normalmente usam um service pack para fornecer uma coleção de atualizações, correções, recursos ou aprimoramentos a um aplicativo. Os service packs são entregues na forma de um único pacote instalável.