编者荐语:
新开的号,以后新闻、情报乱七八糟的将会在新号发,还会再开一个工具号专门发工具,fans这个号将只用来给大家分享一些娱乐向的内容
CVE-2024-11680
根据VulnCheck的报告,开源文件共享应用程序ProjectSend中的一个严重漏洞,标识为CVE-2024-11680,目前正在实际环境中被积极利用。尽管自2023年5月起已发布补丁,但是99%的ProjectSend公网机器仍未修复,依然面临被攻击的风险。
ProjectSend是一个中等流行的文件共享平台,在Censys上索引了超过4,000个实例,并在GitHub上获得了近1,500个星标。该漏洞的CVSS评分为9.8,攻击者可以通过此漏洞更改服务器设置、启用未经授权的用户注册、上传恶意Web Shell,并可能注入有害的JavaScript。VulnCheck指出:“我们可能已经进入了‘攻击者正在安装Web Shell’的阶段”,突显了该漏洞被滥用的严重潜力。
在CVE分配之前,攻击就已开始,公开工具如Nuclei和Metasploit已在github公开exp。VulnCheck观察到攻击的独特特征:“面向公众的ProjectSend服务器的首页标题开始更改为长而随机的字符串”,这是这些工具测试方法的结果。
攻击链通常会进一步导致启用用户注册——这是一个非默认设置,赋予攻击者认证后的权限。VulnCheck报告称:“考虑到我们看到这个设置启用的情况如此普遍,这可能比‘研究人员主动检查漏洞版本’更为严重。”
利用Shodan的数据,VulnCheck揭示只有1%的ProjectSend实例在运行已修补的版本(r1750)。大多数服务器仍在使用旧版本,例如2022年10月发行的r1605,这仍然易受攻击。报告警告称:“目前的攻击可能已经十分广泛。如果不现在,那么考虑到极低的修补率,未来可能会更加严重。”
攻击者通常会留下痕迹,例如在**upload/files/**目录中上传的Web Shell,这些文件名包含时间戳和SHA1哈希。VulnCheck建议管理员检查服务器访问日志,以便检测对这些目录的直接访问,从而发现潜在的安全 breaches。
Web Shell | 图片来源:VulnCheck
鉴于CVE-2024-11680的严重性及其持续的利用,立即采取行动至关重要。使用ProjectSend的组织应:
应用补丁: 更新至版本r1750或更高版本以缓解该漏洞。 审计访问日志: 检查是否有未经授权的更改或Web Shell的上传。 禁用不必要的功能: 确保用户注册功能在非必要情况下被禁用。 监控潜在利用: 使用工具扫描公共服务器的异常活动。
