Специалисты компании VulnCheck зафиксировали масштабную кампанию кибератак, направленную на серверы ProjectSend. Злоумышленники эксплуатируют критическую уязвимость CVE-2024-11680, получившую максимальную оценку опасности 9,8 баллов по шкале CVSS. Особую тревогу вызывает тот факт, что патч для устранения этой проблемы существует уже более полутора лет, однако большинство серверов остаются незащищенными.
Анатомия уязвимости
ProjectSend представляет собой открытое PHP-приложение для организации файлового обмена между пользователями. Обнаруженная уязвимость позволяет неавторизованным злоумышленникам получить полный контроль над конфигурацией сервера через эндпоинт options.php. Атакующие могут создавать фиктивные учетные записи, загружать вредоносные веб-шеллы и внедрять опасный JavaScript-код.
Хронология обнаружения и эксплуатации
Первоначально уязвимость была выявлена экспертами Synacktiv в январе 2023 года. Несмотря на оперативное создание патча в мае 2023 года, официальный CVE-идентификатор был присвоен только недавно, после подтверждения активной эксплуатации уязвимости хакерами. За это время несколько исследовательских групп, включая Project Discovery и Rapid7, разработали PoC-эксплоиты, которые впоследствии были взяты на вооружение злоумышленниками.
Масштаб проблемы и текущая ситуация
Согласно статистике VulnCheck, ситуация с обновлением серверов ProjectSend критическая: 99% активных установок остаются уязвимыми. Из них 55% работают на версии r1605, содержащей уязвимость, а 44% используют устаревший релиз от апреля 2023 года. Лишь 1% серверов обновлены до безопасной версии r1750.
Признаки компрометации и методы защиты
Исследователи отмечают характерные признаки атак: изменение заголовков лендингов на длинные псевдослучайные строки и появление функции регистрации новых пользователей. Для защиты от эксплуатации уязвимости критически важно обновить ProjectSend до версии r1720 или более новой.
Учитывая широкое распространение уязвимых версий ProjectSend и наличие публичных эксплоитов, администраторам систем настоятельно рекомендуется провести немедленное обновление программного обеспечения. В случае невозможности оперативного обновления следует рассмотреть временное отключение публичного доступа к серверам ProjectSend до устранения уязвимости.
