オープンソースのファイル共有WebアプリケーションであるProjectSendのインターネット公開インスタンスが攻撃者に悪用されていると、脆弱性インテリジェンス提供企業VulnCheckが報告した。
ProjectSendはソフトウェア開発者のIgnacio Nelsonによって作成され、50人以上のグループによって保守されている。GitHubでは1500人から支援を受けている。
このWebアプリケーションは、少なくとも2024年1月以降、不適切な認証の脆弱性の影響を受けている。サイバーセキュリティ企業Synactivが同月、プロジェクトのメンテナーに報告していた。
この脆弱性を悪用すると、攻撃者はoptions.phpに細工したHTTPリクエストをリモート送信することで、アプリケーション設定の不正な変更を可能にできる。これにより、アカウント作成、Webシェルのアップロード、悪意あるJavaScriptの埋め込みが可能になる。
この欠陥は5月に修正され、ProjectSendは8月に公式パッチ版をリリースした。
しかし、この脆弱性にはCVEが割り当てられなかったため、ユーザーはそれがどれほど重大かを把握できなかった。
パッチ公開以降、Synactiv、Project Discovery(Nucleiを使用)、Rapid7(Metasploitを使用)によって複数のエクスプロイトが公開されている。
11月、VulnCheckは、多くのインターネット公開ProjectSendインスタンスのサーバーが、ランディングページのタイトルを長く不審な文字列に変更し始めていることに気付いた。
この異常な挙動の原因を調査した結果、VulnCheckは、攻撃者がこの脆弱性を積極的に悪用しようとしていると結論付けた。
CVE採番機関でもあるVulnCheckは、この脆弱性にCVE番号CVE-2024-11680を割り当てた。
また、CVSSスコアを9.8と評価し、この脆弱性が極めて重大であることを示した。
VulnCheckのInitial Accessチームは、インターネットに公開されたProjectSendシステムのバージョンをフィンガープリントするスキャナーを開発した。その結果、修正版(r1750)を使用していたユーザーはわずか1%だった。
CVE-2024-11680パッチ適用状況。出典:VulnCheck"/>「このタイムライン、悪用の証拠、そしてパッチ適用の不足を踏まえると、悪用は広範に及んでいる可能性が高いと考えられます。仮に現時点でそうでなくとも、悲惨なパッチ適用率を考えれば近い将来そうなるでしょう」とVulnCheckの研究者はブログ投稿で付け加えた。
翻訳元: https://www.infosecurity-magazine.com/news/exploit-projectsend-critical/
