แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ใน ProjectSend เพื่อติดตั้ง Backdoor บนเซิร์ฟเวอร์

ผู้โจมตีกำลังใช้ช่องโหว่ระดับ Critical ใน ProjectSend ที่ได้รับการเปิดเผยออกสู่สาธารณะ เพื่อ bypass การยืนยันตัวตน เพื่อทำการอัปโหลด webshells และเข้าถึงเซิร์ฟเวอร์จากภายนอก

ช่องโหว่นี้หมายเลข CVE-2024-11680 เป็นช่องโหว่การยืนยันตัวตนในระดับ Critical ที่ส่งผลกระทบต่อ ProjectSend เวอร์ชันก่อน r1720 โดยทำให้ผู้โจมตีสามารถส่ง HTTP request ที่ออกแบบมาเป็นพิเศษไปยัง 'options.

ช่องโหว่ระดับ Critical 3 รายการ เสี่ยงทำให้ผู้ใช้ ownCloud ถูกละเมิดข้อมูล

ผู้ให้บริการซอฟต์แวร์โอเพ่นซอร์ส file-sharing อย่าง ownCloud ออกมาแจ้งเตือนถึงช่องโหว่ระดับ Critical 3 รายการ ที่อาจนำไปใช้ในการเปิดเผยข้อมูลที่สำคัญ และทำให้ผู้โจมตีสามารถแก้ไขไฟล์ได้

คำอธิบายของช่องโหว่มีดังนี้

CVE-2023-49103 (CVSS score: 10.0) ช่องโหว่การเปิดเผยข้อมูล credentials และช่องโหว่การกำหนดค่าใน containerized deployments ที่ส่งผลกระทบต่อ graphapi เวอร์ชันตั้งแต่ 0.2.0 ถึง 0.3.0
CVE-2023-49105 (CVSS score: 9.8) ช่องโหว่ Authentication Bypass ใน WebDAV Api โดยใช้ Pre-Signed URLs ซึ่งส่งผลกระทบต่อเวอร์ชันหลัก ตั้งแต่ 10.6.0 ถึง 10.13.0
CVE-2023-49104 (CVSS score: 9.0) ช่องโหว่การ Bypass การตรวจสอบ Subdomain ที่ส่งผลกระทบต่อ oauth2 ก่อนเวอร์ชัน 0.6.1
ช่องโหว่แรกเกิดจาก แอป 'graphapi' จะใช้ไลบรารีของ third-party ที่จะ provide URL ให้ ซึ่งเมื่อเข้าถึง URL นี้ จะทำให้มีการเปิดเผยข้อมูล configuration ของ PHP (phpinfo) ซึ่งข้อมูลนี้รวมถึง environment ทั้งหมดใน containerized deployments ซึ่งอาจอาจรวมถึงข้อมูลที่มีความสำคัญ เช่น รหัสผ่านผู้ดูแลระบบ ownCloud, ข้อมูล Credentials ของเซิร์ฟเวอร์เมล และ license key

ช่องโหว่รายการที่สอง คือทำให้สามารถเข้าถึง แก้ไข หรือลบไฟล์ใด ๆ ก็ตามที่ไม่มีการยืนยันตัวตน หากทราบชื่อผู้ใช้ของเหยื่อ และเหยื่อไม่ได้กำหนดค่า signing-key เป็นค่าเริ่มต้น ซึ่งเป็นพฤติกรรมโดยปกติของผู้ใช้งานส่วนใหญ่

ช่องโหว่รายการที่สาม เป็นช่องโหว่ที่เกี่ยวข้องกับการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งทำให้ผู้โจมตีสามารถส่ง URL เพื่อเปลี่ยนเส้นทางที่ถูกสร้างขึ้นมาเป็นพิเศษ โดยข้ามขั้นตอนการตรวจสอบสิทธิ์ และทำให้ผู้โจมตีเปลี่ยนเส้นทางการเรียกกลับไปยัง TLD ที่ควบคุมโดยผู้โจมตีได้

นอกเหนือจากการเพิ่มมาตรการรักษาความปลอดภัยให้กับการตรวจสอบความถูกต้องในแอป oauth2 แล้ว ownCloud ยังแนะนำให้ผู้ใช้ปิดการใช้งานตัวเลือก "Allow Subdomains" เพื่อแก้ปัญหาอีกด้วย

การแจ้งเตือนดังกล่าวเกิดขึ้นภายหลังจากที่มีการเผยแพร่ Proof-of-Concept (PoC) สำหรับโจมตีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในโซลูชัน CrushFTP (CVE-2023-43177) ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเข้าถึงไฟล์ หรือเรียกใช้โปรแกรมโดยไม่ได้รับอนุญาตบนโฮสต์ และเข้าถึงรหัสผ่านที่เป็น plain-text ได้ ซึ่งช่องโหว่นี้ได้รับการแก้ไขแล้วใน CrushFTP เวอร์ชัน 10.5.2 ซึ่งเผยแพร่เมื่อวันที่ 10 สิงหาคม 2023

แนวทางแก้ไขจาก ownCloud

แนะนำให้ลบไฟล์ "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.