Компанія VulnCheck виявила масштабну хвилю кібератак на сервери ProjectSend, спричинену критичною вразливістю CVE-2024-11680. Ця вразливість отримала максимальну оцінку небезпеки 9,8 за шкалою CVSS, що викликає серйозне занепокоєння у фахівців з кібербезпеки. Особливо тривожним є той факт, що попри наявність виправлення протягом більше ніж півтора року, переважна більшість серверів залишається незахищеною.
Технічні деталі вразливості
ProjectSend – це відкрите PHP-рішення для організації файлового обміну, яке широко використовується компаніями по всьому світу. Виявлена вразливість дозволяє зловмисникам без автентифікації отримати повний контроль над конфігурацією сервера через endpoint options.php. Серед можливостей атакуючих – створення фіктивних облікових записів, завантаження шкідливих веб-шелів та впровадження небезпечного JavaScript-коду в систему.
Розвиток подій та поширення загрози
Вразливість була вперше виявлена експертами Synacktiv на початку 2023 року. Незважаючи на швидке створення патча в травні 2023 року, офіційний CVE-ідентифікатор був присвоєний лише після підтвердження активної експлуатації вразливості. За цей час декілька дослідницьких груп, включаючи Project Discovery та Rapid7, розробили proof-of-concept експлойти, які згодом потрапили до рук зловмисників.
Статистика вразливих систем
За даними VulnCheck, ситуація з оновленням серверів ProjectSend критична: 99% активних інсталяцій залишаються вразливими. З них 55% працюють на версії r1605, що містить вразливість, а 44% використовують застарілий реліз від квітня 2023 року. Лише 1% серверів оновлено до безпечної версії r1750.
Індикатори компрометації та захисні заходи
Основними ознаками успішної атаки є зміна заголовків цільових сторінок на довгі псевдовипадкові рядки та несанкціонована поява функції реєстрації нових користувачів. Для захисту від експлуатації вразливості критично важливо оновити ProjectSend щонайменше до версії r1720.
З огляду на критичність ситуації та широку доступність експлойтів, адміністраторам систем наполегливо рекомендується негайно оновити програмне забезпечення. Якщо оперативне оновлення неможливе, слід розглянути тимчасове відключення публічного доступу до серверів ProjectSend до усунення вразливості. Також важливо регулярно проводити аудит безпеки та моніторинг систем для виявлення потенційних ознак компрометації.
