Bedrohungsakteure nutzen derzeit aktiv CVE-2024-11680 aus, eine kritische Schwachstelle in ProjectSend, einer Open-Source-Anwendung für den Dateiaustausch auf PHP-Basis. Öffentliche Exploits und eine weit verbreitete Vernachlässigung von Sicherheitsupdates haben Tausende von Servern dem Risiko einer Kompromittierung ausgesetzt. Von den etwa 4.000 öffentlich zugänglichen ProjectSend-Servern sind erschreckende 99 % nicht aktualisiert, was es Angreifern ermöglicht, Webshells zu installieren, Konfigurationen zu manipulieren und unbefugten Zugriff zu erlangen.

Produkt	ProjectSend
Datum	27.11.2024 15:01:03
Informationen	Fix verfügbar Aktive Ausnutzung

Technische Zusammenfassung

CVE-2024-11680, eingestuft mit einem CVSS-Wert von 9.8, ermöglicht es entfernten, nicht authentifizierten Angreifern, unzureichende Autorisierungskontrollen im Endpunkt options.php auszunutzen. Diese Schwachstelle erlaubt privilegierte Operationen wie:

• Erstellung gefälschter Benutzerkonten.
• Aktivierung der nicht autorisierten Benutzerregistrierung und automatischen Validierung.
• Änderung von Konfigurationseinstellungen.
• Hochladen schädlicher Webshells oder Einbetten von JavaScript für weitere Exploits.

Die Schwachstelle wurde Anfang 2023 von Synacktiv offengelegt und betrifft die Versionen von r1605 bis mindestens r1270. Dies trotz der Veröffentlichung der ProjectSend-Version r1720 im Mai 2023, welche die Sicherheitslücke schließt.

Die Ausnutzung nahm ab September 2024 signifikant zu, wobei Angreifer öffentliche Metasploit- und Nuclei-Skripte verwenden, um:

• Die Benutzerregistrierung zu aktivieren und nach der Authentifizierung Zugriff zu erhalten.
• Webshells bereitzustellen, um Persistenz zu gewährleisten und schädliche Aktivitäten durchzuführen.

Angesichts der äußerst geringen Patch-Akzeptanz ist mit einem raschen Anstieg der Angriffe zu rechnen. Das Verständnis des Bedrohungsvektors, der in dieser Kampagne ausgenutzt wird, hilft dabei, den Schweregrad der Gefährdung einzuordnen.

Empfehlungen

1. Sofortiges Patchen:

   • Aktualisieren Sie alle Instanzen auf ProjectSend Version r1720 oder höher, um die Schwachstelle zu beheben.

2. Zugriff einschränken:

   • Implementieren Sie Zugriffskontrollen und beschränken Sie die Erreichbarkeit der Server auf vertrauenswürdige Netzwerke.
   • Setzen Sie Web Application Firewalls (WAF) ein, um bösartige Anfragen an options.php zu filtern.

3. Digitale Umgebung überwachen:

   • Aktivieren Sie eine proaktive Überwachung externer Bedrohungen: Ein Dienst für Threat Intelligence und Digital Risk Protection ermöglicht es, Anzeichen einer Kompromittierung und Angriffsindikatoren zu erkennen, bevor sie zu konkreten Vorfällen führen.

[Callforaction-THREAT-Footer]