Af Eskil Sørensen, 13/10/23
Internet-eksponerede WS_FTP-servere, der ikke er patchet, er nu mål for ransomwareangreb.
Det skriver Bleeping Computer.
Der blev tidligere på efteråret fundet flere sårbarheder i WS_FTP-servere, hvor den mest alvorlige har en max CVSS-score på 10. Sårbarhedens id er CVE-2023-40044, og den er forårsaget af en .NET-deserialiseringssårbarhed i Ad Hoc Transfer Module fra Progress Software. Sårbarheden gør det muligt for uautoriserede angribere at udføre kommandoer på det underliggende OS via HTTP-anmodninger eksternt.
Progress Software udgav den 27. september sikkerhedsopdateringer og opfordrede i den forbindelse administratorer til at opgradere til den nyeste version 8.8.2. Organisationer, der ikke umiddelbart kan patche deres servere, kan blokere indgående angreb ved at deaktivere det sårbare WS_FTP Server Ad Hoc Transfer Module.
De researchere, der opdagede fejlen, udgav et par dage efter exploit-koden og yderligere et par dage efter blev CVE-2023-40044 sat ind i CISAs katalog over kendte udnyttede sårbarheder med deadline for håndtering den 26.10.
Andre researchere fra Rapid7 observeret, at angribere begyndte at udnytte sårbarheden allerede samme dag, som udnyttelseskoden blev frigivet.
Links:
https://cert.dk/da/news/2023-09-29/Flere-kritiske-saarbarheder-i-WS_FTPsoftware