ISGroup Consultoría de Ciberseguridad

Modificación de la Configuración no Autenticada en ProjectSend

Los actores de amenazas están explotando activamente CVE-2024-11680, una vulnerabilidad crítica en ProjectSend, una aplicación de código abierto para compartir archivos basada en PHP. Los exploits públicos y el desinterés generalizado por aplicar parches han expuesto a miles de servidores al riesgo de compromiso. De los aproximadamente 4.000 servidores ProjectSend accesibles públicamente, un impresionante 99% permanece sin actualizar, lo que permite a los atacantes instalar webshells, manipular configuraciones y obtener acceso no autorizado.

ProductoProjectSend
Fecha2024-11-27 15:01:03
Información
  • Parche disponible
  • Explotación activa

Resumen técnico

CVE-2024-11680, clasificada con un CVSS de 9.8, permite a atacantes remotos y no autenticados aprovechar controles de autorización inadecuados en el endpoint options.php. Esta vulnerabilidad permite operaciones privilegiadas como:

  • Creación de cuentas de usuario falsas.
  • Activación del registro de usuarios no autorizado y validación automática.
  • Modificación de los ajustes de configuración.
  • Carga de webshells maliciosas o incorporación de JavaScript para exploits adicionales.

La vulnerabilidad fue divulgada por Synacktiv a principios de 2023 y afecta a las versiones desde la r1605 hasta al menos la r1270. Esto ocurre a pesar del lanzamiento de la versión r1720 de ProjectSend en mayo de 2023, la cual corrige el fallo.

La explotación comenzó a aumentar significativamente a partir de septiembre de 2024, con atacantes utilizando scripts públicos de Metasploit y Nuclei para:

  • Habilitar el registro de usuarios, obteniendo acceso tras la autenticación.
  • Desplegar webshells para garantizar la persistencia y realizar actividades maliciosas.

Dada la escasísima adopción del parche, se prevé un rápido incremento de los ataques. Comprender el vector de amenaza explotado en esta campaña ayuda a contextualizar la gravedad de la exposición.

Recomendaciones

  1. Aplicar el parche inmediatamente:

    • Actualizar todas las instancias a la versión r1720 de ProjectSend o superior para mitigar la vulnerabilidad.

  2. Limitar el acceso:

    • Aplicar controles de acceso, limitando la exposición de los servidores a redes de confianza.
    • Desplegar Web Application Firewalls (WAF) para filtrar solicitudes maliciosas hacia options.php.

  3. Monitorizar el entorno digital:

    • Activar una monitorización proactiva de las amenazas externas: un servicio de Threat Intelligence y Digital Risk Protection permite detectar señales de compromiso e indicadores de ataque antes de que se traduzcan en incidentes concretos.

[Callforaction-THREAT-Footer]

In