На прошлой неделе компания Progress Software, разработчик платформы для обмена файлами MOVEit Transfer, которая недавно использовалась в массовых атаках (последствия которых затронули более 2100 организаций и 62 млн человек), предупредила клиентов о новой опасной уязвимости в своем продукте WS_FTP Server. Так как для этого бага уже появился PoC-эксплоит, разработчики говорят, что «разочарованы» действиями исследователей, которые его создали.
Официальный сайт Progress Software сообщает, что тысячи ИТ-команд по всему миру используют WS_FTP, ведь это инструмент для безопасной передачи файлов корпоративного уровня. Однако на прошлой неделе компания сообщила, что исправила в WS_FTP Server множество уязвимостей, затрагивающих его интерфейс и модуль Ad hoc Transfer.
Сразу две из этих уязвимостей получили статус критических, причем одна из них (CVE-2023-40044), удостоилась и максимально возможной оценки по шкале CVSS 3.1 — 10 баллов из 10 возможных. Этот баг затрагивает WS_FTP Server версий до 8.7.4 и 8.8.2, позволяя неаутентифицированным злоумышленникам выполнять удаленные команды в случае успешной эксплуатации уязвимости десериализации .NET в модуле Ad Hoc Transfer.
Другая критическая ошибка (CVE-2023-42657; 9,9 балла по шкале CVSS) представляет собой уязвимость обхода каталога, позволяющую злоумышленникам выполнять файловые операции за пределами разрешенного пути к папке WS_FTP.
Также подчеркивалось, что эти критические проблемы могут использоваться без взаимодействия с пользователем и не потребуют от злоумышленников глубоких технических познаний.
Разработчики призывали клиентов как можно скорее обновить WS_FTP Server до версии 8.8.2, в которой уязвимости были устранены. Также была опубликована инструкция по отключению уязвимого модуля Ad Hoc Transfer, если тот не используется.
В минувшие выходные специалисты компании Assetnote, исходно обнаружившие критическую уязвимость CVE-2023-40044, обнародовали в своем блоге технические подробности об этой проблеме, а также рассказали о создании PoC-эксплоита для нее. После этого информация об эксплоите начала быстро распространяться в социальных сетях.
Shodan так же обнаруживает более 2000 уязвимых WS_FTP Server
Вскоре компания Rapid7 предупредила, что злоумышленники начали эксплуатировать CVE-2023-40044 практически одновременно с публикацией отчета Assetnote. Пока эксперты полагают, что за всеми атаками стоят одни и те же хакеры, так как «цепочка выполнения процессов» одинакова во всех обнаруженных случаях, а также в атаках использовался один и тот же домен Burpsuite.
Известный ИБ-эксперт Кевин Бомонт и вовсе пишет, что неназванная организация, на днях пострадавшая от атаки программы-вымогателя, сообщила ему, злоумышленники проникли в сеть именно через WS_FTP.
Представители Progress Software сообщили СМИ, что разочарованы происходящим и не ожидали, что PoC-эксплоит для критической проблемы появится так скоро.
Официальный сайт Progress Software сообщает, что тысячи ИТ-команд по всему миру используют WS_FTP, ведь это инструмент для безопасной передачи файлов корпоративного уровня. Однако на прошлой неделе компания сообщила, что исправила в WS_FTP Server множество уязвимостей, затрагивающих его интерфейс и модуль Ad hoc Transfer.
Сразу две из этих уязвимостей получили статус критических, причем одна из них (CVE-2023-40044), удостоилась и максимально возможной оценки по шкале CVSS 3.1 — 10 баллов из 10 возможных. Этот баг затрагивает WS_FTP Server версий до 8.7.4 и 8.8.2, позволяя неаутентифицированным злоумышленникам выполнять удаленные команды в случае успешной эксплуатации уязвимости десериализации .NET в модуле Ad Hoc Transfer.
Другая критическая ошибка (CVE-2023-42657; 9,9 балла по шкале CVSS) представляет собой уязвимость обхода каталога, позволяющую злоумышленникам выполнять файловые операции за пределами разрешенного пути к папке WS_FTP.
Также подчеркивалось, что эти критические проблемы могут использоваться без взаимодействия с пользователем и не потребуют от злоумышленников глубоких технических познаний.
Разработчики призывали клиентов как можно скорее обновить WS_FTP Server до версии 8.8.2, в которой уязвимости были устранены. Также была опубликована инструкция по отключению уязвимого модуля Ad Hoc Transfer, если тот не используется.
В минувшие выходные специалисты компании Assetnote, исходно обнаружившие критическую уязвимость CVE-2023-40044, обнародовали в своем блоге технические подробности об этой проблеме, а также рассказали о создании PoC-эксплоита для нее. После этого информация об эксплоите начала быстро распространяться в социальных сетях.
Shodan так же обнаруживает более 2000 уязвимых WS_FTP Server
Вскоре компания Rapid7 предупредила, что злоумышленники начали эксплуатировать CVE-2023-40044 практически одновременно с публикацией отчета Assetnote. Пока эксперты полагают, что за всеми атаками стоят одни и те же хакеры, так как «цепочка выполнения процессов» одинакова во всех обнаруженных случаях, а также в атаках использовался один и тот же домен Burpsuite.
Известный ИБ-эксперт Кевин Бомонт и вовсе пишет, что неназванная организация, на днях пострадавшая от атаки программы-вымогателя, сообщила ему, злоумышленники проникли в сеть именно через WS_FTP.
Представители Progress Software сообщили СМИ, что разочарованы происходящим и не ожидали, что PoC-эксплоит для критической проблемы появится так скоро.
