Les serveurs ProjectSend ciblés par les pirates à cause de cette faille de sécurité critique !
Une faille de sécurité critique affectant ProjectSend, une application open source de partage de fichiers, fait actuellement l'objet d'une exploitation active, selon les chercheurs en sécurité de chez VulnCheck.
Identifiée comme CVE-2024-11680 (score CVSS : 9.8), la vulnérabilité remonte à janvier 2023, date à laquelle elle a été signalée par l'équipe de Synacktiv aux mainteneurs du projet. Bien que le correctif ait été initialement publié en mai 2023 par l'intermédiaire d'un commit sur le projet, il n'a été officiellement intégré qu'en août 2024 avec la sortie de la version r1720 de l'application ProjectSend.
Selon le rapport de Synacktiv, la faille réside dans une vérification inadéquate des autorisations. Elle permet à un attaquant d'exécuter du code malveillant sur les serveurs vulnérables, mais aussi d'activer l'inscription de nouveaux utilisateurs et la validation automatique des comptes. De plus, un attaquant peut exploiter cette vulnérabilité pour ajouter de nouvelles extensions de fichiers à la liste blanche des formats autorisés pour les uploads de données.
Exploitation active depuis septembre 2024
Depuis septembre 2024, VulnCheck a observé des cyberattaques basées sur l'exploitation de cette faille de sécurité. Les cybercriminels s'appuient sur un code d'exploitation PoC mis en ligne par Project Discovery et Rapid7. Ces attaques ne se limitent pas à la reconnaissance de serveurs vulnérables, comme l'explique Jacob Baines de chez VulnCheck : "Nous sommes probablement dans le territoire des "attaquants qui installent des web shell" (techniquement, la vulnérabilité permet également à l'attaquant d'intégrer du JavaScript malveillant, ce qui pourrait constituer un scénario d'attaque intéressant et différent)."
Le chercheur Jacob Baines, de VulnCheck, explique que ces web shells sont souvent déposés dans des emplacements classiques, comme le répertoire upload/files/ du serveur web. VulnCheck a également constaté que les titres de la page d'accueil de certains serveurs ont été modifiés, afin d'adopter une longue chaîne de caractères aléatoires.
Comment se protéger de cette vulnérabilité ?
Vous l'aurez compris, pour se protéger, il convient d'installer la mise à jour r1720 ou une version ultérieure, afin d'avoir le correctif de sécurité correspondant à la CVE-2024-11680. Une analyse de près de 4 000 serveurs ProjectSend exposés sur Internet révèle que seulement 1% d’entre eux sont protégés contre cette vulnérabilité, si l'on se réfère à la version utilisée.
Il est regrettable de constater que la majorité des serveurs tournent encore sous des versions obsolètes, notamment la r1605, publiée en octobre 2022.
Si vous utilisez ProjectSend, il est temps de faire le nécessaire pour protéger votre instance, si ce n'est pas déjà fait.
