ProjectSend açık kaynaklı dosya paylaşım uygulamasındaki kritik bir güvenlik açığı, VulnCheck tarafından yapılan tespitlere göre, halihazırda aktif olarak kullanılmakta.

Geçen yıl Mayıs 2023'te bir commit ile düzeltilmiş olan bu zafiyet, Ağustos 2024'te r1720 sürümüyle resmen duyurulmuştu. 26 Kasım 2024 itibariyle, bu güvenlik açığı CVE-2024-11680 kimlik numarasını almış ve CVSS üzerinden 9.8 gibi çok yüksek bir güvenlik puanı elde etmiştir.

Synacktiv, bu açığı Ocak 2023'te geliştiricilere bildirdi ve açığın yetkilendirme hatası nedeniyle saldırganların etkilenen sunucularda kötü amaçlı kod çalıştırmasına olanak tanıdığını belirtti.

2024 Temmuz ayında yayımlanan bir rapora göre, ProjectSend'in r1605 sürümünde keşfedilen yetkilendirme hatası, bir saldırganın kullanıcı kaydı ve otomatik onaylamayı etkinleştirme ya da yüklenen dosyalar için yeni dosya uzantıları beyaz listesini ekleme gibi hassas işlemleri gerçekleştirmesine olanak tanıyordu. Sonuç olarak, bu açık, sunucuda rastgele PHP kodunun çalıştırılmasına yol açabiliyor.

VulnCheck, bilinmeyen tehdit aktörlerinin, ProjectSend sunucularını hedef alarak, Project Discovery ve Rapid7 tarafından yayımlanan exploit kodunu kullandıklarını gözlemledi. Saldırıların, Eylül 2024 itibariyle başlamış olabileceği düşünülüyor.

Saldırılar ayrıca, kullanıcı kaydı işlevini etkinleştirerek, kimlik doğrulama sonrası ayrıcalıklar elde etmeyi sağlıyor ve bunun, yalnızca savunmasız sunucuları taramakla sınırlı kalmayıp, daha fazla kötüye kullanım amacı taşıdığını gösteriyor.

Jacob Baines (VulnCheck), "Muhtemelen Webshell kurulumları aşamasındayız (teknik olarak bu zafiyet, saldırganların kötü amaçlı JavaScript yerleştirmelerine de izin veriyor, bu da farklı bir saldırı senaryosu oluşturabilir)" dedi.

Baines ayrıca, webshell yüklendiyse, upload/files/ altında webroot dışındaki bir yerde öngörülebilir bir konumda bulunabileceğini de belirtti.

ProjectSend'in internet erişimi olan yaklaşık 4.000 sunucusunun analiz edilmesi sonucunda, sadece %1'inin güncellenmiş r1750 sürümünü kullandığı, geri kalan tüm sunucuların ise ya isimsiz bir sürüm ya da Ekim 2022'de yayımlanan r1605 sürümünü çalıştırdığı tespit edilmiştir.

Geniş çapta bir saldırı olduğunu göz önünde bulundurarak, kullanıcıların en kısa sürede güncellemeleri yaparak aktif tehditlere karşı önlem alması tavsiye edilmektedir.