[ziesell]

Zitat:

Exploit veröffentlicht: Hacker nutzen kritische WS_FTP-Schwachstelle bereits aus

Der Entwickler der Datentransfersoftware Moveit hat kürzlich Schwachstellen in WS_FTP gepatcht – eine davon wird bereits aktiv ausgenutzt.



Sicherheitsforscher von Assetnote haben technische Details und einen PoC-Exploit (Proof of Concept) für eine erst vor wenigen Tagen vom Moveit-Entwickler Progress gepatchte Schwachstelle mit maximalem Schweregrad in der FTP-Serveranwendung WS_FTP veröffentlicht. Das hat Cyberkriminelle offenbar dazu animiert, die Sicherheitslücke nun umfassend auszunutzen.

Wie die Forscher in ihrem Bericht erklären, handle es sich bei der als CVE-2023-40044 registrierten Schwachstelle um "ein typisches .NET-Deserialisierungsproblem" im Ad-Hoc-Transfermodul von WS_FTP. Dieses soll nicht authentifizierten Angreifern die Ausführung von Code aus der Ferne (RCE) erlauben. Für die Ausnutzung der Sicherheitslücke reicht demnach eine speziell präparierte HTTP-Anfrage aus, deren Aufbau die Forscher in ihrem Bericht geteilt haben.

Die Assetnote-Forscher geben an, im Internet etwa 2.900 WS_FTP-Hosts mit aktiven Webservern identifiziert zu haben. "Die meisten dieser Online-Assets gehören zu großen Unternehmen, Regierungen und Bildungseinrichtungen", warnen die Sicherheitsforscher in ihrem Bericht. Eine Shodan-Suche zeigt, dass derzeit mehr als 2.000 WS_FTP-Server erreichbar sind. Die meisten davon sind in den USA stationiert, Deutschland ist im weltweiten Vergleich mit 81 Servern derzeit auf dem dritten Platz.

Hacker greifen WS_FTP-Server an

Das Cybersicherheitsunternehmen Rapid7 gibt derweil an, erstmals am Samstag, dem 30. September, Hackerangriffe beobachtet zu haben, bei denen CVE-2023-40044 ausgenutzt wurde. Die Prozessausführungskette habe dabei in allen beobachteten Fällen gleich ausgesehen, was für eine mögliche massenhafte Ausnutzung anfälliger WS_FTP-Instanzen spreche. Obendrein gebe es noch weitere Hinweise darauf, dass hinter all diesen Cyberangriffen der gleiche Akteur stecke.

Betreibern eines WS_FTP-Servers rät das Rapid7-Team dazu, möglichst zeitnah auf die neue Version 8.8.2 zu aktualisieren. Laut Progress ist aber auch Version 8.7.4 vor potenziellen Angriffen geschützt. Durch die Updates werden außerdem noch sechs weitere Schwachstellen in der Serveranwendung behoben. Eine Dokumentation für das Softwareupgrade hat der Hersteller auf seiner Webseite bereitgestellt. Wer die Software derzeit nicht aktualisieren kann, sollte in Erwägung ziehen, das anfällige Ad-Hoc-Transfermodul von WS_FTP vorerst zu deaktivieren.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]