Hacker monitoring compromised servers

ProjectSendの重大な認証バイパスの不具合を悪用し、ウェブシェルをアップロードしてサーバーにリモートアクセスする脅威が発生しています。

CVE-2024-11680として追跡されているこの欠陥は、ProjectSendのr1720以前のバージョンに影響を与える重大な認証バグであり、攻撃者は特別に細工したHTTPリクエストを「options.php」に送信し、アプリケーションの設定を変更することができます。

悪用に成功すると、不正なアカウントの作成、Webシェルの設置、悪意のあるJavaScriptコードの埋め込みが可能になります。

この欠陥は2023年5月16日に修正されていたにもかかわらず、昨日までCVEが割り当てられていなかったため、ユーザーはその重大性とセキュリティ・アップデートを適用する緊急性を知らないままになっていた。

積極的な悪用を検出したVulnCheckによると、これまでのところパッチ適用のペースは最悪で、ProjectSendインスタンスの99%が依然として脆弱なバージョンを実行しているという。

数千のインスタンスが危険にさらされる

ProjectSendはオープンソースのファイル共有ウェブアプリケーションで、サーバー管理者とクライアント間の安全でプライベートなファイル転送を容易にするように設計されている。

Google DriveやDropboxのようなサードパーティ・サービスよりも、セルフホスト・ソリューションを好む組織で利用されている、そこそこ人気のあるアプリケーションだ。

Censysの報告によると、オンライン上に公開されているProjectSendインスタンスはおよそ4,000あり、そのほとんどに脆弱性があるとVulnCheckは述べている。

具体的には、研究者は、Shodanのデータに基づいて、公開されているインスタンスの55%が2022年10月にリリースされたr1605を実行し、44%が2023年4月にリリースされた無名のリリースを使用しており、パッチが適用されたr1750を使用しているのはわずか1%であると報告しています。

VulnCheckの報告によると、CVE-2024-11680の積極的な悪用は、ユーザー登録を可能にするためのシステム設定の変更、不正アクセスの取得、侵害されたサーバーの制御を維持するためのWebシェルの展開など、テストだけにとどまりません。

Enabling new user registrations
新規ユーザー登録の有効化
Source:VulnCheck

この活動は、MetasploitとNucleiがCVE-2024-11680のエクスプロイトを公開した2024年9月以降に増加しています。

「VulnCheckは、公開されているProjectSendサーバーが、ランディングページのタイトルをランダムな長い文字列に変更し始めていることに気づきました

「これらの長くてランダムっぽい名前は、NucleiとMetasploitの両方が脆弱性テストロジックを実装する方法と一致している。

“どちらの悪用ツールも被害者の設定ファイルを変更し、サイト名(したがってHTTPタイトル)をランダムな値で変更する。”

GreyNoiseは、このアクティビティにリンクされた121のIPをリストアップしており、孤立したソースではなく、広範な試みを示唆している。

Attack victims as they appear on Shodan
Shodan
に掲載されている攻撃被害者:VulnCheck

VulnCheckは、Webシェルが「upload/files」ディレクトリに保存され、POSIXタイムスタンプ、ユーザー名のSHA1ハッシュ、元のファイル名/拡張子から生成された名前が付けられていると警告しています。

ウェブサーバーを通じてこれらのファイルに直接アクセスすることは、アクティブな悪用を意味する。

研究者は、ProjectSendのバージョンr1750への早急なアップグレードが重要であると警告している。