Бездействие Progress Software привело к массовым взломам WS_FTP серверов

Недавно компания Progress Software предупредила своих клиентов о критической уязвимости в программном обеспечении WS_FTP Server, которое используется тысячами IT-команд по всему миру. Уязвимость была идентифицирована ИБ-специалистами из компании Assetnote и получила обозначение CVE-2023-40044 (CVSS: 10).

В официальном сообщении команда WS_FTP рассказала о найденных уязвимостях в модуле Ad Hoc Transfer и интерфейсе управления WS_FTP Server. Недостатки затрагивают все версии WS_FTP Server. Проблемы связаны с десериализацией в .NET в модуле Ad Hoc Transfer, что позволяет неавторизованному злоумышленнику удалённо выполнить произвольный код в операционной системе, на которой работает WS_FTP Server.

В своём заявлении Progress порекомендовала пользователям обновиться до последней исправленной версии 8.8.2, как единственный способ устранения проблем. Отмечается, что во время обновления в системе произойдет сбой. Также была предоставлена информация о том, как удалить или отключить уязвимый модуль Ad Hoc Transfer, если он не используется.

Исследователи Assetnote озадачены тем , как долго ошибка оставалась незамеченной несмотря на то, что большинство версий WS_FTP оказались уязвимыми. Специалисты обнаружили около 2900 хостов, доступных в интернете, на которых работает WS_FTP. Большинство из устройство принадлежат крупным предприятиям, правительственным организациям и образовательным учреждениям.

ИБ-компания Rapid7 сообщила , что злоумышленники начали эксплуатировать уязвимость CVE-2023-40044 вскоре после того, как Assetnote опубликовала доказательство концепции (Proof of Concept, PoC) для этой уязвимости. Согласно отчету Rapid7, 30 сентября были зафиксированы несколько случаев эксплуатации WS_FTP в различных клиентских средах. Инциденты происходили с интервалом в несколько минут ночью между 01:38:43 UTC и 01:41:38 UTC 1 октября 2023 года, что указывает на возможное массовое использование уязвимостей серверов WS_FTP.

Инцидент подчеркивает важность своевременного обнаружения и устранения уязвимостей в программном обеспечении, чтобы предотвратить возможные кибератаки и обеспечить надежную защиту данных и систем.