Kelemahan keamanan kritis yang berdampak pada aplikasi berbagi file sumber terbuka ProjectSend kemungkinan besar telah dieksploitasi secara aktif, menurut temuan dari VulnCheck.
Kerentanan tersebut, awalnya ditambal lebih dari satu setengah tahun yang lalu sebagai bagian dari komitmen yang didorong pada Mei 2023, tidak tersedia secara resmi hingga Agustus 2024 dengan dirilisnya versi r1720. Pada tanggal 26 November 2024, telah ditetapkan pengenal CVE CVE-2024-11680 (skor CVSS: 9.8).
Synacktiv, yang melaporkan kelemahan tersebut kepada pengelola proyek pada Januari 2023, menggambarkannya sebagai pemeriksaan otorisasi yang tidak tepat yang memungkinkan penyerang mengeksekusi kode berbahaya di server yang rentan.
“Pemeriksaan otorisasi yang tidak tepat diidentifikasi dalam ProjectSend versi r1605 yang memungkinkan penyerang melakukan tindakan sensitif seperti mengaktifkan pendaftaran pengguna dan validasi otomatis, atau menambahkan entri baru dalam daftar putih ekstensi yang diizinkan untuk file yang diunggah,” katanya dalam laporan yang diterbitkan di Juli 2024.
“Pada akhirnya, ini memungkinkan untuk mengeksekusi kode PHP sewenang-wenang di server yang menghosting aplikasi.”
VulnCheck mengatakan pihaknya mengamati pelaku ancaman tak dikenal yang menargetkan server ProjectSend yang dapat dilihat publik menjadi sasaran dengan memanfaatkan kode eksploitasi yang dirilis oleh Project Discovery dan Rapid7. Upaya eksploitasi tersebut diyakini telah dimulai pada September 2024.
Serangan tersebut juga ditemukan memungkinkan fitur pendaftaran pengguna untuk mendapatkan hak istimewa pasca-otentikasi untuk eksploitasi lanjutan, yang menunjukkan bahwa serangan tersebut tidak terbatas pada pemindaian untuk kejadian yang rentan.
“Kami kemungkinan besar berada dalam wilayah 'penyerang memasang web shell' (secara teknis, kerentanan juga memungkinkan penyerang untuk menyematkan JavaScript berbahaya, yang bisa menjadi skenario serangan yang menarik dan berbeda),” kata Jacob Baines dari VulnCheck.
“Jika penyerang telah mengunggah web shell, itu dapat ditemukan di lokasi yang dapat diprediksi di unggahan/file/di luar webroot.”
Analisis terhadap server ProjectSend yang terpapar internet mengungkapkan bahwa hanya 1% dari server tersebut yang menggunakan versi yang dipatch (r1750), sedangkan sisanya menjalankan rilis yang tidak disebutkan namanya atau versi r1605, yang dirilis pada Oktober 2022.
Mengingat eksploitasi yang tampaknya meluas, pengguna disarankan untuk menerapkan patch terbaru sesegera mungkin untuk mengurangi ancaman aktif.