Faille critique dans ProjectSend : Vulnérabilité CVE-2024-11680 exploitée, comment se protéger ?

Une vulnérabilité critique affectant ProjectSend, une application open source de partage de fichiers, est actuellement exploitée selon les chercheurs en sécurité de chez VulnCheck.

La faille de sécurité CVE-2024-11680

La vulnérabilité CVE-2024-11680, notée 9.8 sur l’échelle CVSS, a été identifiée en janvier 2023 par l’équipe de Synacktiv. Bien que le correctif ait été publié en mai 2023, il n’a été intégré officiellement qu’en août 2024 avec la version r1720 de ProjectSend.

Synacktiv rapporte que la faille réside dans une vérification insuffisante des autorisations, permettant à un attaquant d’exécuter du code malveillant, activer des inscriptions d’utilisateurs et valider automatiquement des comptes, ainsi que d’ajouter de nouvelles extensions de fichiers autorisés pour les uploads de données.

Explotation active depuis septembre 2024

Depuis septembre 2024, des attaques exploitant cette faille ont été observées par VulnCheck. Les cybercriminels utilisent un code d’exploitation PoC publié par Project Discovery et Rapid7. Ces attaques vont au-delà de la reconnaissance de serveurs vulnérables, avec la possibilité d’installer des web shells ou du JavaScript malveillant.

Les serveurs vulnérables peuvent subir des modifications, allant jusqu’à changer les titres des pages d’accueil avec des chaînes de caractères aléatoires.

Protection contre la vulnérabilité

Pour se protéger, il est crucial d’installer la mise à jour r1720 ou ultérieure pour bénéficier du correctif de sécurité adapté. Seulement 1% des serveurs ProjectSend exposés sur Internet sont protégés contre cette vulnérabilité, la majorité étant encore sous des versions obsolètes comme la r1605.

Si vous utilisez ProjectSend, il est vivement recommandé de mettre à jour votre instance pour vous prémunir contre toute exploitation de cette faille.

Source : www.it-connect.fr