ProjectSend là một ứng dụng mã nguồn mở được viết bằng PHP, được thiết kế để chia sẻ tệp, cho phép người dùng tạo nhóm client, chỉ định vai trò người dùng và truy cập số liệu thống kê, nhật ký chi tiết, thông báo,…

Sự cố bị khai thác được theo dõi là CVE-2024-11680 (điểm CVSS là 9,8), được mô tả là lỗ hổng xác thực không đúng cách có thể cho phép kẻ tấn công từ xa, chưa xác thực sửa đổi cấu hình của ứng dụng.

Theo khuyến cáo của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST), kẻ tấn công có thể gửi các yêu cầu HTTP được tạo sẵn đến điểm cuối options[.]php để tạo tài khoản giả mạo, tải lên webshell và có khả năng nhúng mã JavaScript độc hại.

Lỗ hổng bảo mật này đã được nhà nghiên cứu Synacktiv phát hiện và báo cáo vào tháng 01/2023 và bản vá đã được đưa lên kho lưu trữ GitHub của ProjectSend vào tháng 5/2023.

Theo Synacktiv, lỗ hổng được xác định trong ProjectSend phiên bản r1605 nhưng có khả năng ảnh hưởng đến tất cả các phiên bản trở xuống đến r1270, tồn tại do một số trang PHP của ứng dụng chỉ thực hiện kiểm tra quyền sau khi thực thi phần còn lại của mã, về cơ bản cho phép người dùng chưa xác thực thực hiện các hoạt động có đặc quyền.

“Một kiểm tra ủy quyền không đúng cách được xác định trong ProjectSend phiên bản r1605, cho phép kẻ tấn công thực hiện các hành động nhạy cảm như đăng ký người dùng và xác thực tự động, hoặc thêm các mục mới vào danh sách whitelist các tiện ích mở rộng được phép cho các tệp đã upload. Cuối cùng, điều này cho phép kẻ tấn công thực thi mã PHP tùy ý trên máy chủ lưu trữ ứng dụng”, Synacktiv cho biết.

VulnCheck cho biết họ đã quan sát thấy những kẻ tấn công chưa xác định nhắm mục tiêu vào các máy chủ ProjectSend công khai bằng cách tận dụng mã khai thác do Project Discovery và Rapid7 phát hành. Các nỗ lực khai thác này được cho là đã bắt đầu vào tháng 9/2024.

Ngay sau khi Synacktiv công bố khuyến cáo, ProjectSend đã phát hành phiên bản r1720 của phần mềm và triển khai bản vá lỗ hổng. Tuy nhiên, mã định danh CVE chỉ được phát hành trong cuối tháng 11 này, sau khi VulnCheck nhận thấy lỗi đã bị khai thác trong thực tế.

Theo VulnCheck, các cuộc tấn công được quan sát không chỉ dừng lại ở việc kiểm tra xem các phiên bản ProjectSend có dễ bị tấn công bởi CVE-2024-11680 hay không, mà còn liên quan đến việc cho phép người dùng đăng ký để có được các đặc quyền sau khi xác thực, dẫn đến việc trang đích nhắc nhở khách truy cập đăng ký tài khoản.

Một phân tích về khoảng 4.000 máy chủ ProjectSend được kết nối Internet đã tiết lộ rằng chỉ có 1% trong số chúng đang sử dụng phiên bản đã vá (r1750), trong khi tất cả các phiên bản còn lại đều chạy bản phát hành chưa được đặt tên hoặc phiên bản r1605, ra mắt vào tháng 10/2022.

Trước thực trạng khai thác diện rộng này, người dùng được khuyến cáo nên áp dụng các bản vá mới nhất càng sớm càng tốt để giảm thiểu mối đe dọa đang diễn ra.