Cibercriminales explotan vulnerabilidad crítica en ProjectSend para comprometer servidores

CVE-2024-11680: Un riesgo crítico ignorado por la mayoría

Los cibercriminales están aprovechando una vulnerabilidad de omisión de autenticación crítica en ProjectSend para subir webshells y obtener acceso remoto a servidores expuestos. Esta falla, identificada como CVE-2024-11680, afecta a versiones de ProjectSend anteriores a r1720 y permite a los atacantes enviar solicitudes HTTP manipuladas al archivo options.php, alterando la configuración de la aplicación.

La explotación exitosa permite:

  • Crear cuentas maliciosas.
  • Insertar webshells.
  • Inyectar código JavaScript malicioso.

Aunque la vulnerabilidad fue corregida el 16 de mayo de 2023, no se le asignó un CVE hasta noviembre de 2024, dejando a los usuarios sin advertencias claras sobre su gravedad y la necesidad urgente de aplicar la actualización.

Miles de servidores aún son vulnerables

ProjectSend es una aplicación de código abierto utilizada para transferencias de archivos seguras y privadas entre administradores de servidores y sus clientes. Su popularidad radica en ser una solución autogestionada, preferida por organizaciones que buscan alternativas a servicios en la nube como Google Drive y Dropbox.

Sin embargo, la plataforma enfrenta un grave problema de actualización. Según datos de VulnCheck y Shodan:

  • 4,000 instancias públicas de ProjectSend están actualmente en línea.
  • 99% de ellas usan versiones vulnerables.
  • Solo el 1% opera con la versión parcheada r1750.
Explotaciones activas desde septiembre

El informe de VulnCheck confirma que la explotación de CVE-2024-11680 aumentó drásticamente en septiembre de 2024, tras la publicación de herramientas de explotación en Metasploit y Nuclei. Los ataques observados incluyen:

  • Alteración de configuraciones para habilitar el registro de nuevos usuarios.
  • Acceso no autorizado a servidores.
  • Implementación de webshells para persistencia.

Los cibercriminales utilizan directorios como upload/files para alojar los webshells, generando nombres de archivo basados en marcas de tiempo y hashes SHA1.

Consejos para mitigar el riesgo

Es imperativo que las organizaciones que usan ProjectSend tomen las siguientes medidas de inmediato:

  1. Actualizar a la versión r1750.
  2. Realizar auditorías en los servidores para detectar webshells y configuraciones alteradas.
  3. Deshabilitar configuraciones inseguras, como el registro de nuevos usuarios, si no son necesarias.

Con más de 120 direcciones IP vinculadas a actividades sospechosas, los ataques se están propagando rápidamente. No actualizar a la última versión podría resultar en la exposición de datos sensibles y el control total de los servidores por parte de actores malintencionados.

La seguridad no puede esperar: las vulnerabilidades desatendidas son un blanco fácil para los cibercriminales. Si tu organización utiliza ProjectSend, actúa ahora.

 

Related Posts
Clear Filters

La autenticación multifactor (MFA) de Microsoft es un mecanismo de seguridad diseñado para proteger el acceso a cuentas y servicios,…

Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.