- VulnCheck encontrou um bug sendo explorado ativamente no ProjectSend
- Criminosos estão usando isso para criar contas não autorizadas e implantar malware
- Milhares de casos estão em risco, alertam especialistas
Os pesquisadores alertaram que os hackers estão aproveitando uma vulnerabilidade crítica no ProjectSend, dando-lhes acesso a servidores e a capacidade de executar comandos arbitrários remotamente.
ProjectSend é um software de compartilhamento de arquivos gratuito e de código aberto que as empresas podem usar para carregar, gerenciar e compartilhar arquivos com segurança com clientes, membros da equipe ou outros usuários designados. É comumente usado por empresas, freelancers e organizações sem fins lucrativos que não querem depender de serviços de terceiros, como o Dropbox.
Aparentemente, uma versão mais antiga, anterior a 16 de maio de 2023, carregava uma vulnerabilidade crítica de desvio de autenticação – e como o bug nunca recebeu um CVE e, portanto, nunca foi divulgado publicamente, a maioria dos usuários não sabia de sua existência.
Vários invasores
Como resultado, a grande maioria dos usuários do ProjectSend – 99% deles – operava uma versão mais antiga, sem correção e vulnerável. No total, existem aparentemente 4.000 instâncias públicas e apenas 1% estão usando uma versão corrigida.
Depois que VulnCheck, uma plataforma de segurança cibernética que se concentra na identificação e análise de vulnerabilidades, observou o bug sendo explorado ativamente, recebeu a designação CVE-2024-11680. Os criminosos o usavam para criar novas contas sob seu controle, plantar webshells e incorporar código JavaScript.
VulnCheck acrescentou que a exploração acelerou em setembro de 2024, quando Metasploit e Nuclei lançaram explorações públicas para a falha.
“O VulnCheck notou que os servidores ProjectSend voltados ao público começaram a mudar os títulos de suas páginas de destino para strings longas e aleatórias”, disse a plataforma. “Esses nomes longos e aleatórios estão alinhados com a forma como o Nuclei e o Metasploit implementam sua lógica de teste de vulnerabilidade.”
“Ambas as ferramentas de exploração modificam o arquivo de configuração da vítima para alterar o nome do site (e, portanto, o título HTTP) com um valor aleatório.”
Neste momento, não há informações sobre a identidade dos atacantes, ou os seus motivos, no entanto, foi dito que as tentativas vieram de pelo menos 100 endereços IP diferentes, o que significa que numerosos grupos e hackers individuais estavam a aproveitar-se do bug.
Através BipandoComputador