MOVEit de Cl0p, Progress Software está haciendo que los clientes de transferencia de archivos se vuelvan locos, esta vez para corregir un error crítico que es fácilmente explotable con una solicitud HTTPS POST especialmente diseñada.
Por segunda vez en los últimos meses, Progress Software exige a los equipos de seguridad empresarial que dejen todo y actúen rápidamente para proteger a sus organizaciones contra vulnerabilidades críticas en su software de transferencia de archivos; esta vez, el producto de transferencia de archivos WS_FTP utilizado por unos 40 millones de personas.
El error más grave permite la ejecución remota de código (RCE) autenticado previamente sin ninguna interacción del usuario. Además, el grupo también incluye un error que está cerca de la gravedad máxima y seis que son de gravedad alta o media.
La noticia de las nuevas vulnerabilidades llega incluso cuando miles de clientes de Progress se están recuperando de una vulnerabilidad de día cero en su tecnología de transferencia de archivos MOVEit que la compañía reveló a finales de mayo. Hasta ahora, más de 2100 organizaciones han sido víctimas de ataques aprovechando la falla, muchas de ellas por parte del grupo de ransomware Cl0p .
Los errores recientemente revelados podrían ser igualmente peligrosos: afectan a todas las versiones compatibles de WS_FTP, que, al igual que MOVEit, es un software de nivel empresarial que las organizaciones utilizan para permitir transferencias seguras de archivos entre sistemas, grupos e individuos.
En una declaración enviada por correo electrónico a Dark Reading, un portavoz de Progress dijo que la compañía no ha visto signos de actividad de explotación dirigida a ninguna de las fallas, hasta el momento.
“Hemos revelado responsablemente estas vulnerabilidades junto con los investigadores de Assetnote”, dice el comunicado. “Actualmente, no hemos visto ningún indicio de que estas vulnerabilidades hayan sido explotadas. Hemos publicado una solución y hemos alentado a nuestros clientes a realizar una actualización a la versión parcheada de nuestro software”.
Parchear WS_FTP ahora
Progress ha solucionado las vulnerabilidades y ha publicado revisiones específicas de la versión para todos los productos afectados. La empresa insta a sus clientes a actualizar inmediatamente o aplicar las medidas de mitigación recomendadas; Progress quiere que las organizaciones que utilizan versiones no compatibles de WS_FTP también actualicen a una versión reparada y compatible lo antes posible.
“Actualizar a una versión parcheada, utilizando el instalador completo, es la única forma de solucionar este problema”, afirmó Progress. “Habrá una interrupción en el sistema mientras se ejecuta la actualización”.
Específicamente, las vulnerabilidades que Progress reveló esta semana están presentes en el módulo de transferencia ad hoc del servidor WS_FTP y en la interfaz del administrador del servidor WS_FTP.
La vulnerabilidad crítica es “fácilmente explotable”
La vulnerabilidad de gravedad máxima rastreada como CVE-2023-40044 afecta a las versiones del servidor WS_FTP anteriores a 8.7.4 y 8.8.2 y, como se mencionó, brinda a los atacantes una forma de obtener RCE de autenticación previa en los sistemas afectados.
Progress describió el problema como una vulnerabilidad de serialización de .NET, un tipo común de error en el que una aplicación procesa cargas útiles de solicitud de forma insegura. Estas fallas pueden permitir ataques de denegación de servicio, fugas de información y RCE. Progress dio crédito a dos investigadores de Assetnote por haber descubierto las fallas y haberlas informado a la empresa.
Caitlin Condon, jefa de investigación de vulnerabilidades en Rapid7, afirma que el equipo de investigación de su empresa pudo identificar la vulnerabilidad y probar su explotabilidad.
“[Rapid 7 ha] verificado que es fácilmente explotable con una solicitud HTTPS POST (y algunos datos específicos de varias partes) a cualquier URI en una ruta específica. No se requiere autenticación ni interacción del usuario”, afirma Condon.
En una publicación en X (anteriormente Twitter) del 28 de septiembre, uno de los investigadores de Assetnote anunció los planes de la compañía de publicar un artículo completo sobre los problemas que descubrieron en 30 días, o si los detalles del exploit estarán disponibles públicamente antes de esa fecha. .
Mientras tanto, el otro error crítico es una vulnerabilidad de cruce de directorio, CVE-2023-42657, en las versiones del servidor WS_FTP anteriores a 8.7.4 y 8.8.2.
“Un atacante podría aprovechar esta vulnerabilidad para realizar operaciones de archivos (eliminar, cambiar nombre, rmdir, mkdir) en archivos y carpetas fuera de su ruta de carpeta autorizada WS_FTP”, advirtió Progress en su aviso. “
Los atacantes también podrían escapar del contexto de la estructura de archivos del servidor WS_FTP y realizar el mismo nivel de operaciones (eliminar, cambiar nombre, rmdir, mkdir) en ubicaciones de archivos y carpetas en el sistema operativo subyacente”.
El error tiene una puntuación CVSS de 9,9 sobre 10, lo que lo convierte en una vulnerabilidad de gravedad cercana al máximo. Las fallas de cruce de directorios , o recorrido de ruta, son vulnerabilidades que básicamente brindan a los atacantes una forma de acceder a archivos y directorios no autorizados.
Cómo descubrir errores en la transferencia de archivos en curso
Los otros problemas incluyen dos errores de alta gravedad ( CVE-2023-40045 y CVE-2023-40047 ), que son vulnerabilidades de secuencias de comandos entre sitios (XSS) que permiten la ejecución de JavaScript malicioso. Las fallas de seguridad medianas incluyen CVE-2023-40048 , un error de falsificación de solicitudes entre sitios (CSRF); y CVE-2023-40049 , un problema de divulgación de información, entre otros.
“WF_FTP tiene una rica historia y normalmente se usa entre TI y desarrolladores”, dice Timothy Morris, asesor jefe de seguridad de Tanium, y agrega que las organizaciones que mantienen un buen inventario de software y/o tienen programas para monitorear el uso de software en su entorno deben tener una Es relativamente fácil rastrear y actualizar instancias vulnerables de WS_FTP.”
Agrega: “Además, dado que las versiones en ejecución de WS_FTP generalmente tienen puertos de entrada abiertos para aceptar solicitudes de conexión, no sería difícil detectarlo con herramientas de monitoreo de red”.
“Comenzaría con herramientas de inventario de software para escanear el entorno (aplicación instalada, servicio en ejecución) y luego usaría búsquedas de archivos como método secundario para buscar y encontrar versiones de WS_FTP, en reposo”, dice.
También te puede interesar leer: Ataque de password sprayinghttps://sisaconsultores.mx/ataque-de-password-spraying/
Fuente: darkreading.com
¿Tienes algún proyecto de ciberseguridad en el que busques consultoría? contáctanos: