.
Atualizada Pesquisadores de segurança identificaram o que acreditam ser uma “possível exploração em massa” de vulnerabilidades no servidor WS_FTP da Progress Software.
Os pesquisadores da Rapid7 começaram a notar evidências de exploração em 30 de setembro em várias instâncias do WS_FTP.
Progresso correções lançadas para oito vulnerabilidades separadas no WS_FTP na quarta-feira, incluindo uma com pontuação máxima de 10 na escala de gravidade CVSS. Dias depois, a empresa afirmou não haver indícios de exploração na época.
Os pesquisadores não especificaram quais das vulnerabilidades estavam sendo exploradas, mas observaram que parecia que “uma ou mais” daquelas incluídas no aviso de oito vulnerabilidades da Progress foram objeto de tentativas de exploração.
Os ataques começaram na noite de 30 de setembro e o Rapid7 recebeu alertas de vários ambientes de clientes sobre tentativas de ataque com poucos minutos de intervalo, de acordo com o postagem no blog de Caitlin Condon, gerente sênior de pesquisa de vulnerabilidade da Rapid7.
Depois de analisar a cadeia de exploração, os pesquisadores concluíram que o processo parecia ser uniforme em todos os incidentes para os quais foram alertados, o que poderia indicar que um crime cibernético está tentando uma tentativa de exploração em grande escala de instâncias WS_FTP vulneráveis.
Os pesquisadores apontaram para um único domínio Burpsuite usado em cada tentativa de exploração analisada, dando suporte adicional à ideia de que um único vilão é responsável pelas tentativas.
Detalhando a cadeia de ataque, Rapid7 disse o processo filho foi responsável pela execução do NTUSER.dll que, após análise, acredita-se que esteja associado ao legítimo kit pós-exploração da equipe vermelha do Bispo Fox, Silver.
As tentativas de exploração parecem ser de baixo volume no momento e visíveis por uma seleção limitada de telemetria. Bob Rudis da GreyNoise Intelligence, por exemplo, disse que sua equipe ainda não detectava nenhuma tentativa até 1º de outubro.
Os pesquisadores da AssetNote, que é creditada pela descoberta do CVE-20233-40044, a vulnerabilidade de gravidade máxima no WS_FTP, disse sua telemetria indica que 2.900 hosts estão executando o software de transferência de arquivos, muitos dos quais são grandes empresas, governos e instituições de ensino.
A Progress Software disse que o produto tem 40 milhões de usuários e seu site nomeia especificamente alguns de seus clientes importantes, incluindo a empresa de jogos RockSteady, o time da NFL Denver Broncos, a Scientific American e a gigante do varejo H&M.
O código de prova de conceito (PoC) para CVE-20233-40044 começou a circular online dois dias depois que a Progress divulgou seu comunicado de segurança.
Quando avisos de segurança são emitidos, o código PoC geralmente é desenvolvido com bastante rapidez, o que significa que geralmente ocorrem tentativas de exploração.
Rapid7 enfatizou a importância de atualizar para a versão mais recente do WS_FTP o mais rápido possível, que vem com as atualizações necessárias para resolver os problemas de segurança que afetam uma ampla gama de versões anteriores do software.
Para clientes que usam WS_FTP com o módulo Ad Hoc Transfer – uma configuração que é alvo de um subconjunto das oito vulnerabilidades divulgadas pelo Progress – eles são incentivados a desabilitar ou remover o módulo.
O ano da Progress Software para esquecer
Os problemas que afetam o WS_FTP são os mais recentes em um ano desafiador para a empresa de software por trás do produto.
Outro de seus produtos de transferência de arquivos, Transferência MOVEitfoi alvo de exploração em massa no início deste ano pela equipe cibercriminosa Cl0p.
O grupo, que este ano se tornou mais uma gangue de hackers e extorsão, renunciando totalmente ao elemento ransomware, invadiu pelo menos 400 organizações depois de explorar um dia zero no MOVEit Transfer.
A maioria dos ataques envolveu o roubo de dados das vítimas e o pedido de resgate, um tática adotado por um número crescente de criminosos associados a ransomware ao longo de 2023, incluindo Cl0p, RansomHouse, BianLian e Karakurt.
Como resultado da exploração em massa do MOVEit Transfer, a Progress enfrenta uma série de ações judiciais devido aos ataques que ainda continuam meses depois de terem começado em junho.
Pesquisadores da Coveware disse em julho, que eles esperavam que a campanha do Cl0p contra o MOVEit rendesse aos criminosos cibernéticos entre US$ 75 milhões e US$ 100 milhões, e que as vítimas pagassem resgates muito mais altos em comparação com os ataques anteriores do Cl0p.
“Embora a campanha MOVEit possa acabar impactando mais de 1.000 empresas diretamente, e uma ordem de magnitude mais indiretamente, uma porcentagem muito pequena de vítimas se preocupou em tentar negociar, e muito menos em pagar”, disse Coveware.
“Aqueles que pagaram pagaram substancialmente mais do que as campanhas anteriores do Clop e várias vezes mais do que o valor médio global do resgate de US$ 740.144.” ®
Atualizado às 10h47 UTC em 3 de outubro de 2023, para adicionar
Um porta-voz da Progress Software nos enviou uma declaração:
“Estamos desapontados com a rapidez com que terceiros lançaram uma prova de conceito (POC), com engenharia reversa a partir de nossa divulgação e correção de vulnerabilidade, lançada em 27 de setembro. os clientes ainda estavam no processo de aplicação do patch. Não temos conhecimento de nenhuma evidência de que essas vulnerabilidades estivessem sendo exploradas antes desse lançamento. Infelizmente, ao criar e lançar um POC rapidamente após o lançamento do nosso patch, um terceiro forneceu aos criminosos cibernéticos uma ferramenta para tentar ataques contra nossos clientes. Estamos incentivando todos os clientes do servidor WS_FTP a corrigirem seus ambientes o mais rápido possível.
“A segurança de nossos clientes é nossa principal prioridade e continuamos a trabalhar com nossos clientes e especialistas de pesquisa terceirizados responsáveis para descobrir, divulgar adequadamente e remediar quaisquer problemas. Esperamos que a comunidade desencoraje a publicação irresponsável de POCs rapidamente após o lançamento de patches de segurança de fornecedores de software.”
.
