Una grave vulnerabilidad de seguridad en ProjectSend, una popular aplicación de intercambio de archivos de código abierto ha sido identificada como un riesgo serio para los usuarios de la plataforma.
La falla, asignada como CVE-2024-11680, tiene una puntuación CVSS de 9,8 (considerada crítica), lo que indica su alta peligrosidad.
La vulnerabilidad ha estado expuesta y explotada activamente desde septiembre de 2024, según los últimos hallazgos de VulnCheck (empresa de ciberseguridad).
Descripción de la Vulnerabilidad
La vulnerabilidad se originó en una verificación incorrecta de autorización en la versión r1605 de ProjectSend, una falla que permite a un atacante ejecutar código malicioso en los servidores afectados.
Este tipo de vulnerabilidad, si se explota correctamente, podría permitir a un atacante realizar acciones sensibles en la aplicación, como habilitar el registro de usuarios, permitir la validación automática de registros o agregar extensiones permitidas para archivos cargados.
Según el informe de Synacktiv que reportó la vulnerabilidad al equipo de desarrollo de ProjectSend en enero de 2023, esta falla permite al atacante ejecutar código PHP arbitrario en el servidor de la aplicación, lo que compromete gravemente la seguridad del sistema.
Esta falta de una verificación adecuada de los permisos de usuario en la plataforma expone a los servidores vulnerables a ataques de ejecución remota de código (RCE).
Ataques Activos y Explotación
Desde septiembre de 2024, se ha observado que actores de amenazas desconocidos han comenzado a explotar activamente esta vulnerabilidad. VulnCheck reportó que los atacantes estaban utilizando código de explotación publicado por Project Discovery y Rapid7 para comprometer servidores ProjectSend expuestos a Internet.
El ataque no solo permite ejecutar código malicioso en el servidor, sino que también puede permitir que un atacante obtenga privilegios posteriores a la autenticación, lo que abre la puerta a explotaciones adicionales.
Esto significa que, una vez que el atacante obtiene acceso, puede realizar acciones posteriores para consolidar su presencia en el sistema comprometido; lo que podría resultar en un robo de datos o en la instalación de shells web.
Posibles Escenarios de Ataque
Según los expertos de VulnCheck, si los atacantes logran cargar un shell web en el servidor afectado, este puede encontrarse en una ubicación predecible en el servidor, en el directorio upload/files/ fuera de la raíz web.
Esto podría facilitar a los atacantes mantener el acceso persistente y ejecutar comandos maliciosos en el servidor comprometido sin ser detectados.
Además, la vulnerabilidad también permite la inyección de JavaScript malicioso, lo que abre la posibilidad de otros escenarios de ataque en los que el atacante podría manipular la aplicación para lograr sus objetivos maliciosos.
Impacto y Resolución
A pesar de que la vulnerabilidad fue arreglada en la versión r1720 de ProjectSend en agosto de 2024, muchos servidores siguen sin actualizarse, lo que pone a los usuarios en riesgo.
Un análisis de los servidores ProjectSend expuestos a Internet reveló que solo un 1% de los servidores usa la versión parchada (r1750), mientras que la gran mayoría sigue ejecutando la versión vulnerable r1605, lanzada en octubre de 2022.
Esto sugiere que muchos usuarios aún no han aplicado los parches necesarios para mitigar esta amenaza crítica, lo que hace que los servidores afectados sean un objetivo fácil para los atacantes.
Recomendaciones
Dado que la explotación activa de esta vulnerabilidad ya está en marcha, es esencial que los administradores de servidores y los usuarios de ProjectSend tomen medidas inmediatas.
Se recomienda que todos los usuarios de la aplicación actualicen a la versión más reciente (r1750) para parchar esta vulnerabilidad y proteger sus servidores de futuros ataques.
Los pasos clave que los usuarios deben seguir son:
- Actualizar ProjectSend a la versión r1750 o posterior.
- Verificar que el parche de seguridad se haya aplicado correctamente.
- Realizar una auditoría de seguridad en los servidores expuestos para detectar cualquier posible ataque en curso o compromisos anteriores.
- Monitorear de cerca el sistema en busca de comportamientos anómalos que puedan indicar una explotación posterior a la actualización.
Conclusión
La vulnerabilidad CVE-2024-11680 en ProjectSend representa una grave amenaza de seguridad para los servidores que aún ejecutan versiones vulnerables de la aplicación.
Con ataques activos en curso y la posibilidad de ejecución remota de código, los administradores deben actuar con rapidez para mitigar los riesgos.
La actualización a la última versión de ProjectSend es crucial para asegurar la protección de los sistemas y evitar que los atacantes se aprovechen de esta falla crítica.