CVE-2024-11680: Un riesgo crítico ignorado por la mayoría
Los cibercriminales están aprovechando una vulnerabilidad de omisión de autenticación crítica en ProjectSend para subir webshells y obtener acceso remoto a servidores expuestos. Esta falla, identificada como CVE-2024-11680, afecta a versiones de ProjectSend anteriores a r1720 y permite a los atacantes enviar solicitudes HTTP manipuladas al archivo options.php, alterando la configuración de la aplicación.
La explotación exitosa permite:
- Crear cuentas maliciosas.
- Insertar webshells.
- Inyectar código JavaScript malicioso.
Aunque la vulnerabilidad fue corregida el 16 de mayo de 2023, no se le asignó un CVE hasta noviembre de 2024, dejando a los usuarios sin advertencias claras sobre su gravedad y la necesidad urgente de aplicar la actualización.
Miles de servidores aún son vulnerables
ProjectSend es una aplicación de código abierto utilizada para transferencias de archivos seguras y privadas entre administradores de servidores y sus clientes. Su popularidad radica en ser una solución autogestionada, preferida por organizaciones que buscan alternativas a servicios en la nube como Google Drive y Dropbox.
Sin embargo, la plataforma enfrenta un grave problema de actualización. Según datos de VulnCheck y Shodan:
- 4,000 instancias públicas de ProjectSend están actualmente en línea.
- 99% de ellas usan versiones vulnerables.
- Solo el 1% opera con la versión parcheada r1750.
Explotaciones activas desde septiembre
El informe de VulnCheck confirma que la explotación de CVE-2024-11680 aumentó drásticamente en septiembre de 2024, tras la publicación de herramientas de explotación en Metasploit y Nuclei. Los ataques observados incluyen:
- Alteración de configuraciones para habilitar el registro de nuevos usuarios.
- Acceso no autorizado a servidores.
- Implementación de webshells para persistencia.
Los cibercriminales utilizan directorios como upload/files para alojar los webshells, generando nombres de archivo basados en marcas de tiempo y hashes SHA1.
Consejos para mitigar el riesgo
Es imperativo que las organizaciones que usan ProjectSend tomen las siguientes medidas de inmediato:
- Actualizar a la versión r1750.
- Realizar auditorías en los servidores para detectar webshells y configuraciones alteradas.
- Deshabilitar configuraciones inseguras, como el registro de nuevos usuarios, si no son necesarias.
Con más de 120 direcciones IP vinculadas a actividades sospechosas, los ataques se están propagando rápidamente. No actualizar a la última versión podría resultar en la exposición de datos sensibles y el control total de los servidores por parte de actores malintencionados.
La seguridad no puede esperar: las vulnerabilidades desatendidas son un blanco fácil para los cibercriminales. Si tu organización utiliza ProjectSend, actúa ahora.