Hacker khai thác lỗ hổng WS_FTP ngay sau khi PoC được công bố

Các nhà nghiên cứu mới đây đã phát hành PoC cho lỗ hổng thực thi mã từ xa nghiêm trọng (CVE-2023-40044) trên nền tảng chia sẻ tệp WS_FTP Server của Progress Software.

CVE-2023-40044 là lỗ hổng deserialization .NET trong Mô-đun chuyển giao Ad Hoc, cho phép kẻ tấn công thực thi từ xa các lệnh trên hệ điều hành cơ bản thông qua một yêu cầu HTTP đơn giản.

Theo phân tích của các chuyên gia, có khoảng 2,9 nghìn máy chủ trên Internet đang chạy WS_FTP, chủ yếu thuộc về các doanh nghiệp lớn, chính phủ và các tổ chức giáo dục.

Ngay khi PoC được phát hành, công ty an ninh mạng Rapid7 đã tiết lộ rằng hacker bắt đầu khai thác CVE-2023-40044 vào tối 30/9.

“Tiến trình thực thi giống nhau ở tất cả các trường hợp phát hiện, cho thấy đây là hành động khai thác hàng loạt các máy chủ WS_FTP ảnh hưởng bởi lỗ hổng.

Ngoài ra, cùng một miền Burpsuite được sử dụng trong tất cả các cuộc tấn công, điều này chỉ ra có một hackker duy nhất đứng sau cuộc tấn công”, các chuyên gia Rapid7 cho biết.

Progress Software đã phát hành các bản cập nhật an ninh để giải quyết lỗ hổng nghiêm trọng CVE-2023-40044 vào 27/9. Người dùng nên nâng cấp lên phiên bản mới nhất để đảm bảo an toàn.

Nguồn: Bleeping Computer