威胁行动者们正在利用ProjectSend 中的一个严重认证绕过漏洞，上传 webshell 并获得对服务器的远程访问权限。该漏洞的编号是CVE-2024-11680，是一个影响 ProjectSend r1720 之前版本的严重的认证漏洞，可导致攻击者将特殊构造的HTTP请求发送给 “options.php” 来更改应用配置。成功利用该漏洞可导致黑客创建恶意账户、植入 webshell 并嵌入恶意 JavaScript 代码。

尽管该漏洞已在2023年5月16日修复，但直到昨天才被分配CVE 编号，导致用户未认识到它的严重性以及应用安全更新的紧迫性。

VulnCheck 检测发现，打补丁的情况不容乐观，99%的 ProjectSend 实例仍然运行的是易受攻击的版本。

ProjectSend 是一款开源的文件共享 web 应用，旨在简化服务器管理员和客户端之间安全、非公开的文件传输工作。

该应用在偏好自托管解决方案而非第三方服务如 Google Drive 和 Dropbox 的组织机构之间受欢迎。Censys 发布报告称，网络上共有约4000台公开的 ProjectSend 实例，其中多数易受攻击。具体而言，报告提到，从 Shodan 数据来看，55%的被暴露实例运行的是在2022年10月发布的 r1605版本，44%使用的是2023年4月发布的未具名版本，而仅有1%的实例使用的是已修复版本 r1750。

VulnCheck 报道称，发现对CVE-2024-11680的活跃利用，不仅是测试，还包括修改系统设置启用用户注册、获得越权访问权限以及部署 webshell 以维持对受陷服务器的控制。

这一活动自2024年9月起就呈活跃状态，因为当时 Metasploit 和 Nuclei 发布了该漏洞的公开 exp。报告中提到，“VulnCheck 注意到这些公开的 ProjectSend 服务器开始将登录页的title更改为长的、随机的字符串。这些名称符合 Nuclei 和 Metasploit 实现漏洞测试的逻辑。这两款利用工具均修改了受害者的配置文件，以随机值修改站点名称（以便修改HTTP的title）。”

GreyNoise 列出了与该活动相关的121个IP地址，表明它是大规模的尝试而单一来源。VulnCheck 提醒称，这些webshell 存储在 “upload/files” 目录中，其名称生成自 POSIX 时间戳、用户名的SHA1哈希以及原始的文件名称/扩展。

通过web服务器实现对这些文件的直接访问权限表明漏洞遭活跃利用。研究人员提醒称，鉴于攻击活动已大规模蔓延，因此应尽快更新至最新版本r1750。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~