ProjectSend là một ứng dụng mã nguồn mở được viết bằng PHP, được thiết kế để chia sẻ tệp, cho phép người dùng tạo nhóm client, chỉ định vai trò người dùng và truy cập số liệu thống kê, nhật ký chi tiết, thông báo,…
Sự cố bị khai thác được theo dõi là CVE-2024-11680 (điểm CVSS là 9,8), được mô tả là lỗ hổng xác thực không đúng cách có thể cho phép kẻ tấn công từ xa, chưa xác thực sửa đổi cấu hình của ứng dụng.
Theo khuyến cáo của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST), kẻ tấn công có thể gửi các yêu cầu HTTP được tạo sẵn đến điểm cuối options[.]php để tạo tài khoản giả mạo, tải lên webshell và có khả năng nhúng mã JavaScript độc hại.
Lỗ hổng bảo mật này đã được nhà nghiên cứu Synacktiv phát hiện và báo cáo vào tháng 01/2023 và bản vá đã được đưa lên kho lưu trữ GitHub của ProjectSend vào tháng 5/2023.
Theo Synacktiv, lỗ hổng được xác định trong ProjectSend phiên bản r1605 nhưng có khả năng ảnh hưởng đến tất cả các phiên bản trở xuống đến r1270, tồn tại do một số trang PHP của ứng dụng chỉ thực hiện kiểm tra quyền sau khi thực thi phần còn lại của mã, về cơ bản cho phép người dùng chưa xác thực thực hiện các hoạt động có đặc quyền.
“Một kiểm tra ủy quyền không đúng cách được xác định trong ProjectSend phiên bản r1605, cho phép kẻ tấn công thực hiện các hành động nhạy cảm như đăng ký người dùng và xác thực tự động, hoặc thêm các mục mới vào danh sách whitelist các tiện ích mở rộng được phép cho các tệp đã upload. Cuối cùng, điều này cho phép kẻ tấn công thực thi mã PHP tùy ý trên máy chủ lưu trữ ứng dụng”, Synacktiv cho biết.
VulnCheck cho biết họ đã quan sát thấy những kẻ tấn công chưa xác định nhắm mục tiêu vào các máy chủ ProjectSend công khai bằng cách tận dụng mã khai thác do Project Discovery và Rapid7 phát hành. Các nỗ lực khai thác này được cho là đã bắt đầu vào tháng 9/2024.
Ngay sau khi Synacktiv công bố khuyến cáo, ProjectSend đã phát hành phiên bản r1720 của phần mềm và triển khai bản vá lỗ hổng. Tuy nhiên, mã định danh CVE chỉ được phát hành trong cuối tháng 11 này, sau khi VulnCheck nhận thấy lỗi đã bị khai thác trong thực tế.
Theo VulnCheck, các cuộc tấn công được quan sát không chỉ dừng lại ở việc kiểm tra xem các phiên bản ProjectSend có dễ bị tấn công bởi CVE-2024-11680 hay không, mà còn liên quan đến việc cho phép người dùng đăng ký để có được các đặc quyền sau khi xác thực, dẫn đến việc trang đích nhắc nhở khách truy cập đăng ký tài khoản.
Một phân tích về khoảng 4.000 máy chủ ProjectSend được kết nối Internet đã tiết lộ rằng chỉ có 1% trong số chúng đang sử dụng phiên bản đã vá (r1750), trong khi tất cả các phiên bản còn lại đều chạy bản phát hành chưa được đặt tên hoặc phiên bản r1605, ra mắt vào tháng 10/2022.
Trước thực trạng khai thác diện rộng này, người dùng được khuyến cáo nên áp dụng các bản vá mới nhất càng sớm càng tốt để giảm thiểu mối đe dọa đang diễn ra.
Đức Huy
10:00 | 25/11/2024
12:00 | 23/12/2024
15:00 | 10/01/2025
14:00 | 15/11/2024
16:00 | 15/11/2024
15:00 | 27/11/2024
Starbucks đang phải đối mặt với hậu quả của một cuộc tấn công sử dụng ransomware nhắm vào nhà cung cấp phần mềm cho thương hiệu này, khiến việc chấm công tại các cửa hàng phải chuyển qua phương pháp thủ công.
14:00 | 27/11/2024
Công ty an ninh mạng BlackBerry (Canada) cho biết, nhóm tin tặc APT41 của Trung Quốc đứng sau phần mềm độc hại LightSpy iOS đã mở rộng bộ công cụ của chúng bằng DeepData, một framework khai thác mô-đun trên Windows, được sử dụng để thu thập nhiều loại thông tin từ các thiết bị mục tiêu. Bài viết này sẽ tìm hiểu về các plugin DeepData dựa trên báo cáo của BlackBerry.
09:00 | 18/11/2024
Tin tặc đang lợi dụng cụm từ tìm kiếm "Mèo Bengal có hợp pháp ở Úc không" trên Google để phát tán phần mềm độc hại, gây nguy hiểm cho thiết bị của người dùng.
10:00 | 27/10/2024
Kho lưu trữ Internet Archive, nơi lưu giữ lịch sử toàn bộ Internet, xác nhận họ đã bị tấn công, làm lộ dữ liệu của 31 triệu người dùng. Ngay cả những tổ chức uy tín nhất cũng không miễn nhiễm với các cuộc tấn công mạng tinh vi.
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
12:00 | 14/01/2025