Sicherheitsforscher von VulnCheck haben eine weitreichende Angriffskampagne auf ProjectSend-Server aufgedeckt. Im Fokus steht die kritische Sicherheitslücke CVE-2024-11680, die mit einem CVSS-Score von 9,8 als höchst gefährlich eingestuft wird. Besonders alarmierend ist die Tatsache, dass trotz verfügbarer Patches seit über 18 Monaten die überwiegende Mehrheit der Systeme weiterhin verwundbar bleibt.
Technische Details der Sicherheitslücke
Die Schwachstelle betrifft ProjectSend, eine Open-Source PHP-Anwendung für den Dateiaustausch. Die Sicherheitslücke ermöglicht es nicht authentifizierten Angreifern, über den options.php-Endpunkt vollständige Kontrolle über die Serverkonfiguration zu erlangen. Zu den möglichen Angriffsszenarien gehören die Erstellung gefälschter Administratorkonten, das Hochladen von Webshells und die Injektion bösartigen JavaScript-Codes.
Chronologie und Entwicklung der Bedrohung
Die initiale Entdeckung erfolgte durch Synacktiv-Experten im Januar 2023. Obwohl bereits im Mai 2023 ein Sicherheitsupdate veröffentlicht wurde, erhielt die Schwachstelle erst kürzlich eine offizielle CVE-Kennzeichnung. In der Zwischenzeit haben verschiedene Sicherheitsforschungsteams, darunter Project Discovery und Rapid7, Proof-of-Concept Exploits entwickelt, die mittlerweile von Cyberkriminellen aktiv genutzt werden.
Aktuelle Bedrohungslage
Die Analyse von VulnCheck zeigt ein besorgniserregendes Bild: 99% aller aktiven ProjectSend-Installationen sind verwundbar. Die Verteilung ist wie folgt:
– 55% laufen auf der anfälligen Version r1605
– 44% nutzen eine veraltete Version vom April 2023
– Nur 1% sind auf die sichere Version r1750 aktualisiert
Erkennungsmerkmale und Schutzmaßnahmen
Typische Anzeichen einer Kompromittierung sind modifizierte Landing-Page-Header mit langen, zufällig erscheinenden Zeichenketten sowie die plötzliche Aktivierung von Benutzerregistrierungsfunktionen. Zur Absicherung ist ein sofortiges Update auf Version r1720 oder höher zwingend erforderlich.
Angesichts der kritischen Bedrohungslage und der Verfügbarkeit öffentlicher Exploits wird Systemadministratoren dringend empfohlen, unverzüglich Sicherheitsupdates durchzuführen. Falls ein sofortiges Update nicht möglich ist, sollte als Übergangslösung der öffentliche Zugriff auf ProjectSend-Server temporär deaktiviert werden. Die weite Verbreitung verwundbarer Systeme macht diese Schwachstelle zu einem attraktiven Ziel für automatisierte Angriffe und gezielte Hackeroperationen.
