Modifica della Configurazione non Autenticata in ProjectSend

ISGroup Cybersecurity

Gli attori delle minacce stanno sfruttando attivamente CVE-2024-11680, una vulnerabilità critica in ProjectSend, un’applicazione open-source per la condivisione di file basata su PHP. Exploit pubblici e un diffuso disinteresse per l’applicazione delle patch hanno esposto migliaia di server al rischio di compromissione. Dei circa 4.000 server ProjectSend accessibili pubblicamente, una percentuale impressionante del 99% rimane non aggiornata, consentendo agli aggressori di installare webshell, manipolare configurazioni e ottenere accesso non autorizzato.

ProdottoProjectSend
Data2024-11-27 15:01:03
Informazioni
  • Fix Available
  • Active Exploitation

Riassunto tecnico

CVE-2024-11680, classificata con 9.8 CVSS, consente ad attaccanti remoti e non autenticati di sfruttare controlli di autorizzazione inadeguati nell’endpoint options.php. Questa vulnerabilità permette operazioni privilegiate come:

  • Creazione di account utente falsi.
  • Attivazione della registrazione utente non autorizzata e validazione automatica.
  • Modifica delle impostazioni di configurazione.
  • Caricamento di webshell dannose o incorporamento di JavaScript per ulteriori exploit.

La vulnerabilità è stata divulgata da Synacktiv all’inizio del 2023 e interessa le versioni da r1605 ad almeno r1270. Nonostante il rilascio della versione r1720 di ProjectSend nel maggio 2023, che corregge la falla.

Lo sfruttamento ha iniziato ad aumentare in maniera significativa a partire da settembre 2024, con attaccanti che utilizzano script pubblici di Metasploit e Nuclei per:

  • Abilitare la registrazione utenti, ottenendo accesso dopo l’autenticazione.
  • Distribuire webshell per garantire persistenza e svolgere attività dannose.

Data la scarsissima adozione della patch, si prevede un rapido incremento degli attacchi. Comprendere il vettore di minaccia sfruttato in questa campagna aiuta a contestualizzare la gravità dell’esposizione.

Raccomandazioni

  1. Applicare immediatamente la patch:

    • Aggiornare tutte le istanze alla versione r1720 di ProjectSend o successiva per mitigare la vulnerabilità.

  2. Limitare l’accesso:

    • Applicare controlli di accesso, limitando l’esposizione dei server a reti fidate.
    • Distribuire Web Application Firewall (WAF) per filtrare richieste malevole verso options.php.

  3. Monitorare l’ambiente digitale:

    • Attivare un monitoraggio proattivo delle minacce esterne: un servizio di Threat Intelligence e Digital Risk Protection consente di rilevare segnali di compromissione e indicatori di attacco prima che si traducano in incidenti concreti.

Vuoi una Threat Intelligence realmente costruita sul tuo business?

Affidati a ISGroup per:

  • Demo personalizzata sui tuoi asset digitali
  • Assessment gratuito per valutare il rischio in 48h
  • Confronto diretto con un ethical hacker senior
Parla con un esperto di Threat Intelligence

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In