แฮกเกอร์ใช้ประโยชน์จากช่องโหว่จาก Backdoor ของ ProjectSend ไปยังเซิร์ฟเวอร์

hackers-exploit-projectsend-flaw-to-backdoor-exposed-servers-Social

ผู้ก่อภัยคุกคามกำลังใช้ช่องโหว่สาธารณะเพื่อหลบเลี่ยงการตรวจสอบสิทธิ์ที่สำคัญของ ProjectSend เพื่อ upload webshells และเข้าถึงเซิร์ฟเวอร์จากระยะไกล ช่องโหว่ดังกล่าวซึ่งติดตามได้ในชื่อ CVE-2024-11680 เป็นช่องโหว่การตรวจสอบสิทธิ์ที่สำคัญซึ่งส่งผลกระทบต่อ ProjectSend เวอร์ชันก่อน r1720 ทำให้ผู้โจมตีสามารถส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษไปยัง ‘options.php’ เพื่อเปลี่ยนการกำหนดค่าของแอปพลิเคชัน การใช้ประโยชน์ที่ประสบความสำเร็จทำให้สามารถสร้างบัญชีปลอม สร้าง webshells และฝังโค้ด JavaScript ที่เป็นอันตรายได้

แม้ว่าช่องโหว่ดังกล่าวจะได้รับการแก้ไขแล้วเมื่อวันที่ 16 พฤษภาคม 2023 แต่ก็ยังไม่มีการกำหนด CVE จนกระทั่งเมื่อวันที่ 26 พฤศจิกายนที่ผ่านมา ทำให้ผู้ใช้ไม่ทราบถึงความร้ายแรงของช่องโหว่ และความเร่งด่วนในการอัปเดตด้านความปลอดภัย ตามข้อมูลของ VulnCheck ซึ่งตรวจพบการใช้ประโยชน์อย่างแพร่หลาย พบว่าความเร็วในการแก้ไขนั้นต่ำมากจนถึงขณะนี้ โดย ProjectSend instances กว่า 99% ยังคงใช้เวอร์ชันที่มีช่องโหว่

เปิดเผยตัวอย่างนับพันรายการ

ProjectSend คือ Open-source file-sharing web application ที่ออกแบบมาเพื่ออำนวยความสะดวกในการถ่ายโอนไฟล์ที่ปลอดภัยและเป็นส่วนตัวระหว่างผู้ดูแลระบบเซิร์ฟเวอร์และไคลเอนต์ เป็นแอปพลิเคชันยอดนิยมที่ใช้โดยองค์กรที่ต้องการโซลูชันโดยเป็นโฮสต์เองมากกว่าบริการของบุคคลที่สาม เช่น Google Drive และ Dropbox

Censys รายงานว่ามีอินสแตนซ์ ProjectSend ที่เผยแพร่สู่สาธารณะอยู่ประมาณ 4,000 อินสแตนซ์ ซึ่งส่วนใหญ่มีความเสี่ยง โดยเฉพาะอย่างยิ่ง นักวิจัยรายงานว่าจากข้อมูลของ Shodan พบว่าอินสแตนซ์ที่เปิดเผย 55% ใช้ r1605 ซึ่งเปิดตัวในเดือนตุลาคม 2022 44% ใช้เวอร์ชันที่ไม่มีชื่อตั้งแต่เดือนเมษายน 2023 และมีเพียง 1% เท่านั้นที่ใช้ r1750 ซึ่งเป็นเวอร์ชันที่ได้รับการแก้ไข VulnCheck รายงานว่าพบการใช้ประโยชน์ CVE-2024-11680 อย่างจริงจัง ซึ่งขยายขอบเขตไปไกลกว่าการทดสอบเพียงอย่างเดียว รวมถึงการเปลี่ยนแปลงการตั้งค่าระบบเพื่อเปิดใช้งานการลงทะเบียนผู้ใช้ การเข้าถึงโดยไม่ได้รับอนุญาต และการปรับใช้ webshells เพื่อรักษาการควบคุมเซิร์ฟเวอร์ที่ถูกบุกรุก