🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Mã khai thác cho lỗ hổng WS_FTP nghiêm trọng đang bị khai thác đã có sẵn. Vá ngay!!!

03/10/2023

Cuối tuần qua, các nhà nghiên cứu bảo mật đã phát hành mã khai thác (PoC) cho lỗ hổng thực thi mã từ xa có điểm nghiêm trọng tối đa 10/10 trong nền tảng chia sẻ tệp WS_FTP Server của Progress Software.

Các nhà nghiên cứu của Assetnote, những người đã phát hiện và báo cáo lỗ hổng nghiêm trọng này (CVE-2023-40044), đã tiết lộ về mã khai thác và các chi tiết kỹ thuật liên quan đến lỗ hổng vào thứ Bảy.

CVE-2023-40044 phát sinh do lỗi .NET deserialization trong Ad Hoc Transfer Module, cho phép kẻ tấn công không được xác thực có thể thực thi các lệnh trên hệ điều hành thông qua HTTP request.

Assetnote cho biết rằng: "Lỗ hổng này tương đối đơn giản và là một trường hợp .NET deserialization điển hình dẫn đến RCE. Thật đáng ngạc nhiên là lỗ hổng này vẫn tồn tại quá lâu và nhà cung cấp cho biết hầu hết các phiên bản WS_FTP đều bị ảnh hưởng".

"Từ phân tích về WS_FTP, chúng tôi ước tính có khoảng 2,9 nghìn máy chủ trên Internet đang chạy WS_FTP. Hầu hết các máy chủ thuộc sở hữu của các doanh nghiệp lớn, chính phủ và các cơ sở giáo dục."

Kết quả tìm kiếm của Shodan cũng cho thấy hơn 2.000 thiết bị chạy Máy chủ WS_FTP hiện có thể truy cập được qua Internet.

Bị khai thác trong thực tế

Ngày PoC được phát hành, công ty bảo mật Rapid7 cũng tiết lộ rằng những kẻ tấn công đã bắt đầu khai thác CVE-2023-40044 vào tối thứ Bảy, ngày 30 tháng 9.

Caitlin Condon, Trưởng phòng Nghiên cứu lỗ hổng tại Rapid7 cho biết: “Tính đến ngày 30 tháng 9, Rapid7 đã phát hiện nhiều trường hợp khai thác WS_FTP trong thực tế”.

“Quy trình tấn công giống nhau trong tất cả các trường hợp được phát hiện cho thấy khả năng khai thác hàng loạt các máy chủ WS_FTP dễ bị tấn công.

"Ngoài ra, chúng tôi đã quan sát thấy cùng một miền Burpsuite được sử dụng trong tất cả các sự cố, điều này có thể chỉ ra một tác nhân đe dọa duy nhất đằng sau hoạt động này."

Progress Software đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng CVE-2023-40044 vào thứ Tư, ngày 27 tháng 9.

Progress khuyến nghị người dùng nên nâng cấp lên phiên bản mới nhất là 8.8.2 ngay khi có thể. “Nâng cấp lên bản vá lỗi, cài đặt các bản vá đầy đủ là cách duy nhất để khắc phục sự cố này”.

Các tổ chức chưa thể vá lỗ hổng ngay lập tức cho máy chủ của mình có thể áp dụng giải pháp thay thế bằng cách vô hiệu hóa module Ad Hoc Transfer trong máy chủ WS_FTP dễ bị tấn công.

Nguồn: bleepingcomputer.com.

scrolltop