Datum der Offenlegung: November 26, 2024
Datum der Meldung als aktiv ausgenutzt (Quelle): November 26, 2024
CVE-2024-11680 ist eine unsachgemäße Authentifizierungsschwachstelle, die es entfernten, nicht authentifizierten Angreifern ermöglicht, ProjectSend-Instanzen (Versionen vor r1720) auszunutzen, indem sie manipulierte HTTP-Anfragen an options.phpgesendet werden, wodurch eine unautorisierte Änderung der Anwendungskonfiguration möglich ist. Bei erfolgreicher Ausnutzung können Angreifer Konten erstellen, Web-Shells hochladen und bösartiges JavaScript einbetten.
Vulncheck hat einen Blog mit mehreren wichtigen Erkenntnissen: Öffentliche ProjectSend-Instanzen werden aktiv ausgenutzt, 99 % der ProjectSend-Instanzen sind nach wie vor verwundbar, und die öffentlichen Exploits sind der CVE-Zuweisung um Monate vorausgegangen. Dies unterstreicht, wie wichtig es ist, die betroffenen Versionen von ProjectSend umgehend zu aktualisieren.
Öffentliche Exploits sind in Form einer Nuclei Vorlage und eines MetaSploit Moduls. Vulncheck teilte mit, dass die Hosts der Opfer möglicherweise HTML-Titel mit zufälligen Zeichenfolgen anzeigen, die mit der Testlogik von Nuclei und Metasploit übereinstimmen. Laut Vulncheck tauchten kompromittierte Hosts mit diesen modifizierten Titeln bereits im September auf, als diese Exploits bekannt wurden.
Vulncheck additionally noted that anomalous network requests to ProjectSend applications appear to be more than just “researchers intrusively checking for vulnerable versions”, and there’s been evidence of post-exploitation activity. Attackers uploading webshells to victim hosts can be found in upload/files/ off the web root and are assigned a predictable name following this pattern: {posix timestamp of upload}-{sha1 username}-{original file name}.{original extension}.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-11680 - CVSS 9.8 (kritisch) - zugewiesen von NVD |
| Schwachstelle Beschreibung |
ProjectSend-Versionen vor r1720 sind von einer unzulässigen Authentifizierungsschwachstelle betroffen. Entfernte, nicht authentifizierte Angreifer können diese Schwachstelle ausnutzen, indem sie manipulierte HTTP-Anfragen an options.php senden und so die Konfiguration der Anwendung unbefugt ändern. Bei erfolgreicher Ausnutzung können Angreifer Konten erstellen, Webshells hochladen und bösartiges JavaScript einbetten. |
| Datum der Offenlegung |
26. November 2024 |
| Betroffene Vermögenswerte |
Optionen.php in ProjectSend (vor r1720) |
| Anfällige Software-Versionen |
ProjectSend vor der Veröffentlichung von r1720. |
| PoC verfügbar? |
Ja, es sind mehrere öffentliche Exploits verfügbar, darunter (aber nicht nur): Projekt Discovery Nuclei VorlageRapid7 Metasploit Modulund dieses Hinweis von Synactiv bietet detaillierte Informationen über den Exploit. |
| Verwertungsstatus |
Die aktive Ausnutzung wurde von Vulncheck gemeldet und dieses CVE wurde am 3. Dezember 2024 zu CISA KEV hinzugefügt. |
| Patch-Status |
Diese Schwachstelle wurde mit diesem Patch behoben Übergabe im Mai 2023 behoben. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 4,026 exponierte ProjectSend-Instanzen online. Ein großer Teil davon (40%) befinden sich in den Vereinigten Staaten. Censys beobachtete etwa 9% der exponierten Instanzen sind mit CloudFlare (ASN 13335) verbunden. Beachten Sie, dass nicht alle diese Instanzen verwundbar sind, da keine spezifischen Versionen verfügbar sind.
Bei exponierten ProjectSend-Instanzen haben wir ein wiederkehrendes Muster in der HTML-Datei beobachtet, das gelegentlich die Release-Version enthält:
Provided by <a href="https://www.projectsend.org/" target="_blank">ProjectSend</a> version r1420 - Free software
Von den exponierten Instanzen in unseren Daten konnten wir die folgenden exponierten Versionen identifizieren:
| Freigabe-Nummer |
Host-Zahl |
| r1295 |
260 |
| r1335 |
117 |
| r1420 |
113 |
| r1330 |
7 |
| r1270 |
4 |
| r1415 |
3 |
Unter den exponierten Instanzen in unserem Datensatz haben wir mehrere Instanzen identifiziert, die bestimmte Release-Versionen anzeigen. Obwohl viele Instanzen keine sichtbare Version anzeigten, bedeutet dies nicht, dass sie nicht verwundbar sind. Alle in der obigen Tabelle aufgeführten Versionen sind nach wie vor für die Sicherheitslücke anfällig.
Zusätzlich zu den identifizierten Versionen haben wir eine beträchtliche Anzahl von Fällen beobachtet, die anscheinend bereits kompromittiert wurden. Im Folgenden sind die fünf häufigsten Muster aufgeführt, die bei diesen Hosts beobachtet wurden, wobei auch weitere kompromittierte Hosts identifiziert wurden:
| HTML-Titel |
Host-Zahl |
| Anmelden " 2nVsqpahM2JlULBOKl4HZg2JMXb |
260 |
| Anmelden " 2pVU3Qznb2ce732PenWkYG6cT8A |
127 |
| Anmelden " 2pTBUSMbXEO0MlGMlZ4D5AydOUW |
63 |
| Anmelden " 2pQhx2E3Rw5BRWrDQUtcyw8Pdel |
23 |
| Anmelden " 2pTxgyFQ4XKnq8ZAfNsAZzQe6qp |
20 |
Die bei diesen kompromittierten Wirten beobachteten Verschleierungsmuster stimmen eng mit denen überein, die von der Kernschablone erzeugt werden. Jedes dieser Muster ist genau 27 Zeichen lang. Dieses Verhalten steht im Einklang mit dem randstr Variable, die in der Nuklei Vorlageverwendete Variable randstr, die die KSUID-Bibliothek nutzt, um eine zufällige Zeichenfolge zu erzeugen, die immer 27 Zeichen lang ist.
if strings.EqualFold(value, "randstr") || strings.HasPrefix(value, "randstr_") {
randStr := ksuid.New().String()
data = bytes.ReplaceAll(data, []byte(expression[0]), []byte(randStr))
dataMap[expression[0]] = randStr
}
Karte der Exposed ProjectSend-Instanzen:
Censys Search Abfrage:
services: (http.response.html_title: "Log In » " and banner: "Set-Cookie: PHPSESSID" and http.response.body: "ckeditor.js" and http.response.body: "jquery-migrate.min.js")
Censys ASM-Abfrage:
host.services.http.response.html_title: "Log In » " and host.services.banner: "Set-Cookie: PHPSESSID" and host.services.http.response.body: "ckeditor.js" and host.services.http.response.body: "jquery-migrate.min.js"
Referenzen
