Você sabia que uma falha de autenticação no ProjectSend pode ter colocado sua segurança em risco? Essa vulnerabilidade, chamada de CVE-2024-11680, já foi explorada por hackers para comprometer servidores expostos. Neste artigo, vamos falar sobre como essa falha funcionou, quem está em risco e por que atualizar seu sistema para a versão mais recente é fundamental para se proteger. Se você usa o ProjectSend, fique atento!
Hackers exploram falha do ProjectSend para inserir backdoors em servidores expostos
Recentemente, hackers têm se aproveitado de uma falha crítica no ProjectSend, um aplicativo de compartilhamento de arquivos, para invadir servidores. Essa falha, conhecida como CVE-2024-11680, permite que atacantes contornem a autenticação e ganhem acesso remoto aos servidores. Isso é algo que você, como administrador de sistema, deve ficar atento.
O que é o ProjectSend?
O ProjectSend é um aplicativo de código aberto que facilita transferências de arquivos seguras e privadas entre um administrador de servidor e seus clientes. Muitas organizações preferem usá-lo em vez de serviços de terceiros como Google Drive ou Dropbox. Contudo, sua popularidade também o torna um alvo para ataques cibernéticos.
A Falha Crítica
A falha, que afeta versões do ProjectSend anteriores à r1720, permite que os atacantes enviem solicitações HTTP especialmente elaboradas para um arquivo chamado options.php. Isso significa que eles podem:
- Alterar configurações do aplicativo.
- Criar contas falsas.
- Plantar webshells (uma forma de malware) e inserir código JavaScript malicioso.
Embora a falha tenha sido corrigida em 16 de maio de 2023, ela só recebeu um número CVE recentemente, deixando muitos usuários no escuro sobre a gravidade do problema e a necessidade de aplicar a atualização de segurança.
A Realidade dos Servidores Expostos
De acordo com o VulnCheck, cerca de 99% das instâncias do ProjectSend ainda estão vulneráveis. Há aproximadamente 4.000 instâncias do ProjectSend expostas na internet, e a maioria delas não foi atualizada. A tabela abaixo mostra a distribuição das versões afetadas:
| Versão | Percentual de Instâncias |
|---|---|
| r1605 | 55% |
| Versão não nomeada (abril de 2023) | 44% |
| r1750 (versão corrigida) | 1% |
Se você deseja aprender mais sobre Segurança e Investigação, recomendamos conferir o cursos disponiveis da Foco em SEC.
Atividades de Ataque
Desde setembro de 2024, quando ferramentas de exploração pública como Metasploit e Nuclei foram lançadas, houve um aumento significativo nas tentativas de exploração. O VulnCheck observou que servidores ProjectSend expostos começaram a mudar seus títulos de página inicial para nomes longos e aleatórios, uma tática usada por essas ferramentas de exploração.
Como os Hackers Estão Operando?
Os hackers estão utilizando uma técnica que envolve a modificação do arquivo de configuração do servidor para alterar o nome do site. Isso é um sinal claro de que a exploração está em andamento. O GreyNoise identificou 121 endereços IP envolvidos nessa atividade, sugerindo que não se trata de uma fonte isolada, mas sim de um esforço coordenado.
Armazenamento de Webshells
Os pesquisadores alertam que os webshells estão sendo armazenados no diretório upload/files, com nomes gerados a partir de um timestamp POSIX, do hash SHA1 do nome de usuário e do nome do arquivo original. O acesso direto a esses arquivos através do servidor web é um sinal de que a exploração está ativa.
Ação Necessária
Se você é um administrador de um servidor que usa o ProjectSend, é crucial que atualize para a versão r1750 o mais rápido possível. Os ataques estão se espalhando rapidamente, e não há tempo a perder.
Conclusão
Em resumo, a falha de autenticação no ProjectSend, identificada como CVE-2024-11680, é um alerta vermelho para todos os administradores de servidores. Se você ainda não atualizou seu sistema para a versão r1750, está correndo um sério risco. Os hackers estão em campo, e a vulnerabilidade deixou uma porta escancarada para ataques. Não deixe para depois o que pode ser feito agora! Atualize-se e proteja seus dados. Afinal, segurança nunca é demais, não é mesmo? Para mais dicas e informações valiosas, não deixe de conferir outros artigos no blog Foco em Sec.