Doradztwo techniczne: Krytyczne luki w zabezpieczeniach WS_FTP
Piotr R
10 października 2023
W dniu 27 września 2023 r. firma Progress Software Corporation wydała zalecenie bezpieczeństwa dotyczące ośmiu nowo zidentyfikowanych luk w zabezpieczeniach oprogramowania WS_FTP. Luki te dotyczą wszystkich wersji serwera WS_FTP. Spośród wykrytych luk dwie zostały sklasyfikowane jako KRYTYCZNE, trzy jako WYSOKIE, a trzy jako ŚREDNIE pod względem ważności. Według informacji firmy Progress jedynym sposobem na naprawienie tego problemu jest aktualizacja do wersji poprawionej (wersja 8.8.2) przy użyciu pełnego instalatora.
Krytyczne luki w zabezpieczeniach WS_FTP
Poniżej przedstawiamy krytyczne luki w zabezpieczeniach WS_FTP:
CVE-2023-40044 – CVSS 10 (KRYTYCZNY)
CVE-2023-42657 – CVSS 9.9 (KRYTYCZNY)
CVE-2023-40045 — CVSS 8.3 (WYSOKI)
CVE-2023-40046 — CVSS 8.2 (WYSOKI)
CVE-2023-40047 — CVSS 8.3 (WYSOKI)
CVE-2023-40048 — CVSS 6.8 (ŚREDNI)
CVE-2022-27665 — CVSS 6.1 (ŚREDNI)
CVE-2023-40049 — CVSS 5.3 (ŚREDNI)
Chociaż zespół Bitdefender zaobserwował stały spadek liczby serwerów podatnych na ataki, należy podkreślić, że nadal jest ich ponad 2000, a każdy potencjalnie reprezentuje całą sieć. Warto zauważyć, że znaczna większość tych serwerów znajduje się w Stanach Zjednoczonych.
Największe zainteresowanie branży cyberbezpieczeństwa i niestety także zainteresowanie ze strony cyberprzestępców wzbudziła krytyczna luka CVE-2023-40044. Zespół Bitdefender opublikował niniejszy poradnik techniczny, aby udokumentować liczne próby wykorzystania oprogramowania, które eksperci ds. bezpieczeństwa rumuńskiego producenta wykryli w ciągu ostatnich kilku dni.
Opis luki
CVE-2023-40044 to luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu przed uwierzytelnieniem w module Ad Hoc Transfer, który wykorzystuje niebezpieczną deserializację obiektu .NET.
W platformie .NET i wielu innych językach programowania deserializacja to proces konwertowania serializowanych danych (często w postaci binarnej lub tekstowej) z powrotem na obiekty lub struktury danych, które mogą być używane przez program. Ten proces jest niezbędny w przypadku aplikacji, które muszą przesyłać lub przechowywać dane w formacie strukturalnym, na przykład wysyłać obiekty przez sieć lub zapisywać je w pliku.
Luka w zabezpieczeniach związana z deserializacją ma miejsce, gdy program deserializuje dane bez odpowiedniej weryfikacji, oczyszczenia lub kontroli bezpieczeństwa. Innymi słowy, aplikacja ufa przychodzącym serializowanym danym bez sprawdzania ich integralności i autentyczności. Cyberprzestępca może więc stworzyć złośliwe, serializowane dane, które po deserializacji przez podatną na ataki aplikację wykonują w systemie dowolny kod z takimi samymi uprawnieniami jak sama aplikacja. Narzędzia takie jak ysoserial.net mogą służyć do zawinięcia polecenia określonego przez użytkownika w specjalnie spreparowany ciąg znaków. Gdy ten ciąg jest deserializowany, wyzwala wykonanie określonego polecenia.
Ostatecznie wszystko, co musisz zrobić, aby wykonać własny kod na zdalnym serwerze, to wysłać pojedyncze żądanie HTTP do podatnej na ataki usługi.
Aby uzyskać więcej informacji technicznych na temat tej luki, w tym kod potwierdzający koncepcję, zalecamy analizę techniczną przeprowadzoną przez zespół Assetnote, który pierwotnie odkrył tę lukę.
Notatki z terenu
Pierwszą kategorię wykryć można przypisać różnym skanerom podatności, w tym Burp Suite (*.oastify.com), AcuMonitor (*.bxss.me) lub prostemu wywołaniu zwrotnemu za pomocą curl (uniwersalne narzędzie wiersza poleceń i biblioteka do tworzenia sieci żądania do różnych protokołów i usług).
Trudno jest rozróżnić, czy skany podatności są przeprowadzane przez administratorów mających dobre intencje, którzy chcą zidentyfikować i zabezpieczyć podatne systemy, czy od złośliwych ugrupowań zagrażających próbujących zlokalizować potencjalne ofiary, ale możemy mieć tylko nadzieję w przypadku pierwszego scenariusza.
Druga kategoria prób wskazuje na działania ugrupowań zagrażających, które aktywnie próbują wdrożyć powłoki internetowe na tych podatnych na ataki serwerach. Powłoka internetowa to złośliwy skrypt lub fragment kodu, który cyberprzestępcy umieszczają na zaatakowanym serwerze w celu uzyskania nieautoryzowanego dostępu i kontroli. Chociaż nie jest możliwe dokładne przypisanie tych prób, mogą to być brokerzy pierwszego dostępu, podmioty stowarzyszone z oprogramowaniem ransomware, a nawet sponsorowane przez państwo ugrupowania zagrażające, które próbują złamać zabezpieczenia tych systemów, zanim zostaną one załatane.
W najczęstszym scenariuszu ataku zaczyna korzystać z lądowego pliku wykonywalnego „certutil.exe”, aby pobrać i uruchomić samodzielny plik wykonywalny Meterpreter, wykrywany przez Bitdefender jako „Trojan.Metasploit.A”. „CertUtil”, natywny program Windows do zarządzania certyfikatami, który zawiera funkcję umożliwiającą użytkownikom pobieranie plików ze zdalnych adresów URL i zapisywanie ich lokalnie. Hakerzy często używają tego LOLbin do pobierania i wdrażania złośliwego oprogramowania w systemach Windows, wykorzystując jego legalność do ominięcia środków bezpieczeństwa i potencjalnego naruszenia bezpieczeństwa maszyn docelowych.
Zespół Bitdefender przyjrzał się również atakom, w których komenda cmd uruchamia łańcuch poleceń PowerShell. Cyberincydent ten próbuje uniknąć wykrycia przy użyciu obejścia AMSI, wykorzystuje kombinację technik zaciemniania kodu i wykonuje zakodowany kod powłoki. Ten kod powłoki łączy się z serwerem dowodzenia oraz kontroli za pomocą portu 49960 i jest wykrywany przez Bitdefender jako „Generic:ShellCode.Marte.4.981084
Wnioski i rekomendacje
Od czasu ataków ransomwareCl0p na MOVEit Transfer (również firmy Progress Software) na początku tego roku, rozwiązania w zakresie bezpiecznego przesyłania plików pozostają popularnym celem badaczy bezpieczeństwa i różnych podmiotów zagrażających. Jak opisano w poradniku bezpieczeństwa firmy Progress Software, zalecanym sposobem rozwiązania tego problemu jest aktualizacja do wersji z poprawką.
Luka w serwerze WS_FTP wyraźnie przypomina, jak ważne jest aktualizowanie systemów za pomocą najnowszych poprawek zabezpieczeń, przy jednoczesnym stosowaniu silnej ochrony obwodowej. Jesteśmy świadkami nasilania się ataków przez cyberprzestępców wykorzystujących luki w zabezpieczeniach. W raporcie oceny cyberbezpieczeństwa Bitdefender 2023 respondenci z całego świata po raz pierwszy wymienili luki w oprogramowaniu i ataki dnia zerowego jako główne obawy dotyczące cyberbezpieczeństwa, przewyższające ataki phishingowe i socjotechniczne. Te wyniki raportu są dobrym znakiem, ponieważ zaobserwowaliśmy, że ugrupowania zagrażające coraz częściej atakują luki w oprogramowaniu, dlatego apelujemy o to, aby każdy potraktował tę sprawę poważnie.
Podczas ostatnich ataków zespół Bitdefender zaobserwował listę złośliwych adresów IP. Te same źródła zostały również zgłoszone przez innych badaczy bezpieczeństwa i dostawców i poniżej przedstawiamy niektóre z nich.
176.105.255[.]46
103.163.187[.]12
34,77,65[.]112
Pamiętajmy o tym, że dla każdej firmy, niezależnie od jej wielkości niezwykle ważne jest ustanowienie solidnych możliwości wykrywania i reagowania XDR i EDR, aby szybko identyfikować wszelkie nietypowe działania w ich sieciach. Podmioty zagrażające są oportunistyczne; starają się infiltrować liczne systemy i często wracają później, aby ocenić to, w jaki sposób ich cele są przygotowane do ataków. Wykorzystaj okres pomiędzy początkowym naruszeniem a potencjalnym wyłudzeniem, takim jak atak oprogramowania ransomware, aby aktywnie wykrywać zdarzenia związane z bezpieczeństwem i reagować na nie.
Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.