Eine kritische Sicherheitslücke in der Open-Source-Dateifreigabeanwendung ProjectSend wurde offenbar aktiv ausgenutzt, wie aus den Erkenntnissen von VulnCheck hervorgeht.

Die Schwachstelle, die ursprünglich vor über einem Jahr im Rahmen eines Commits im Mai 2023 behoben wurde, wurde erst im August 2024 mit der Veröffentlichung von Version r1720 offiziell bekannt gemacht. Am 26. November 2024 erhielt die Schwachstelle die CVE-Identifikationsnummer CVE-2024-11680 und eine CVSS-Bewertung von 9,8, was auf eine äußerst schwerwiegende Sicherheitslücke hinweist.

Synacktiv, die die Schwachstelle im Januar 2023 an die Entwickler gemeldet hatte, beschrieb sie als fehlende Autorisierungsprüfung, die es Angreifern ermöglicht, schadhafter Code auf verwundbaren Servern auszuführen.

Laut einem Bericht, der im Juli 2024 veröffentlicht wurde, wurde ein fehlerhafter Autorisierungscheck in Version r1605 von ProjectSend entdeckt, der es einem Angreifer ermöglicht, sensible Aktionen wie das Aktivieren der Benutzerregistrierung und automatische Validierung oder das Hinzufügen neuer Einträge zur Whitelist für hochgeladene Dateien durchzuführen. Dies führt letztendlich dazu, dass beliebiger PHP-Code auf dem Server ausgeführt werden kann, auf dem die Anwendung läuft.

VulnCheck berichtete, dass unbekannte Bedrohungsakteure öffentlich zugängliche ProjectSend-Server ins Visier genommen haben, indem sie den von Project Discovery und Rapid7 veröffentlichten Exploit-Code ausnutzten. Es wird vermutet, dass die Angriffe im September 2024 begonnen haben.

Die Angriffe ermöglichen auch die Aktivierung der Benutzerregistrierungsfunktion, um Post-Authentifizierungsrechte zu erlangen, was darauf hinweist, dass sie nicht nur darauf abzielen, nach verwundbaren Instanzen zu scannen.

Jacob Baines von VulnCheck erklärte: "Wir befinden uns wahrscheinlich im Bereich von Angreifern, die Webshells installieren (technisch gesehen erlaubt die Schwachstelle auch das Einbetten von schadhafter JavaScript, was ein weiteres interessantes Angriffsszenario darstellen könnte)."

Zudem fügte er hinzu, dass "wenn ein Angreifer eine Webshell hochgeladen hat, sie an einem vorhersehbaren Ort unter upload/files/ außerhalb des Webroots gefunden werden kann."

Eine Analyse von rund 4.000 öffentlich zugänglichen ProjectSend-Servern ergab, dass nur 1% von ihnen die gepatchte Version (r1750) verwenden, während die restlichen Instanzen entweder eine nicht genannte Version oder Version r1605 aus dem Oktober 2022 ausführen.

Angesichts der offensichtlichen weiten Verbreitung des Angriffs wird den Nutzern geraten, so schnell wie möglich die neuesten Patches anzuwenden, um das aktive Bedrohungspotential zu mindern.