Pirate

Au cours du week-end, des chercheurs en sécurité ont publié un exploit de validation de principe (PoC) pour une vulnérabilité de gravité maximale dans la solution de partage de fichiers WS_FTP Server de Progress Software.

Les chercheurs d’Assetnote qui ont découvert et signalé la faille de gravité maximale (CVE-2023-40044) a publié samedi un article de blog avec un exploit PoC et des détails techniques supplémentaires.

CVE-2023-40044 est dû à une vulnérabilité de désérialisation .NET dans le module de transfert ad hoc, permettant à des attaquants non authentifiés d’exécuter à distance des commandes sur le système d’exploitation sous-jacent via une simple requête HTTP.

« Cette vulnérabilité s’est avérée relativement simple et représentait un problème typique de désérialisation .NET qui a conduit à RCE. Il est surprenant que ce bug soit resté en vie aussi longtemps, le fournisseur déclarant que la plupart des versions de WS_FTP sont vulnérables », Assetnote dit.

Publicité

« D’après notre analyse de WS_FTP, nous avons constaté qu’il existe environ 2,9 000 hôtes sur Internet qui exécutent WS_FTP (et dont le serveur Web est également exposé, ce qui est nécessaire à l’exploitation). La plupart de ces actifs en ligne appartiennent à de grandes entreprises, des gouvernements et les établissements d’enseignement. »

Une recherche Shodan confirme les estimations d’Assetnote, montrant que plus de 2 000 appareils exécutant le serveur WS_FTP sont actuellement accessibles via Internet.

Serveur WS_FTP exposé en ligne
Instances du serveur WS_FTP exposées en ligne (Shodan)

Exploité à l’état sauvage

Le jour où l’exploit PoC a été publié, la société de cybersécurité Rapid7 a également révélé que les attaquants avaient commencé à exploiter CVE-2023-40044 samedi soir 30 septembre.

« Au 30 septembre, Rapid7 a observé plusieurs cas d’exploitation de WS_FTP dans la nature. » dit Caitlin Condon, responsable de la recherche sur les vulnérabilités chez Rapid7.

« La chaîne d’exécution des processus est la même dans toutes les instances observées, indiquant une possible exploitation massive des serveurs WS_FTP vulnérables.

« De plus, notre équipe MDR a observé que le même domaine Burpsuite est utilisé dans tous les incidents, ce qui peut indiquer qu’un seul acteur malveillant se cache derrière l’activité que nous avons constatée. »

WS_FTP itw exploitation

Progress Software a publié des mises à jour de sécurité pour corriger la vulnérabilité critique CVE-2023-40044 le mercredi 27 septembre.

« Nous avons corrigé les vulnérabilités ci-dessus et l’équipe Progress WS_FTP recommande fortement d’effectuer une mise à niveau », avait alors averti Progress.

« Nous recommandons la mise à niveau vers la version la plus élevée, à savoir la 8.8.2. La mise à niveau vers une version corrigée, à l’aide du programme d’installation complet, est le seul moyen de résoudre ce problème.

Les organisations qui ne peuvent pas immédiatement mettre à jour leurs serveurs peuvent toujours contrecarrer les attaques entrantes en désactivation du module de transfert ad hoc du serveur WS_FTP vulnérable.

Vendredi, le Health Sector Cybersecurity Coordination Center (HC3), l’équipe de sécurité du département américain de la Santé, a également averti toutes les organisations du secteur de la santé et de la santé publique à mettre à jour leurs serveurs dès que possible.

4.9/5 - (37 votes)
Publicité
Article précédentTest de la Huawei Watch GT 4 : Hé, bon look
Article suivantAprès des décennies de tromperie climatique, Shell utilise Fortnite pour courtiser les groupes démographiques les plus préoccupés par le changement climatique
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici