O aplicativo de código aberto ProjectSend, amplamente utilizado para compartilhamento de arquivos, enfrenta ataques ativos devido a uma grave vulnerabilidade de segurança. Essa falha, identificada como CVE-2024-11680, recebeu uma pontuação CVSS de 9,8, indicando sua criticidade.
Embora a falha tenha sido corrigida em um commit de maio de 2023, a correção oficial só foi lançada em agosto de 2024, na versão r1720. Segundo a VulnCheck, agentes mal-intencionados já estão explorando servidores vulneráveis com ferramentas desenvolvidas pela Project Discovery e Rapid7, intensificando os riscos desde setembro de 2024.
Natureza da Vulnerabilidade do ProjectSend
A Synacktiv, responsável por relatar a falha em janeiro de 2023, descreveu-a como uma verificação de autorização imprópria. Essa brecha permite que invasores:
Notícias Relacionadas
Microsoft corrige falhas críticas de segurança exploradas em ataques
A Microsoft corrigiu falhas graves de segurança em IA, nuvem e ERP, incluindo uma vulnerabilidade já explorada em ataques ativos.
Atualização segura
Microsoft corrige falhas de entrega e relança atualizações do Exchange
Microsoft relançou atualizações de novembro de 2024 para o Exchange Server, corrigindo falhas de entrega de e-mails causadas por regras personalizadas de fluxo de mensagens.
Realizem alterações críticas, como habilitar registros de usuários e validações automáticas.
Insiram extensões não autorizadas na lista de permissões.
Executem código PHP arbitrário no servidor afetado.
Esse comportamento abre caminho para upload de shells web e até a inserção de JavaScript malicioso, ampliando o impacto dos ataques e comprometendo diretamente a integridade dos sistemas.
Ataques e Impacto Atual
Os ataques já ultrapassaram a simples varredura de instâncias vulneráveis. Em muitos casos, os invasores utilizam o registro de usuários como porta de entrada para ações mais amplas pós-autenticação. Conforme destacou Jacob Baines, da VulnCheck, se um shell web for carregado, ele geralmente pode ser localizado em um caminho previsível, como upload/files/, fora do diretório raiz do site.
Preocupantemente, análises mostram que apenas 1% dos servidores ProjectSend expostos na Internet operam com a versão corrigida (r1750). A maioria ainda utiliza versões mais antigas, como a r1605, lançada em outubro de 2022, ou executa versões não identificadas.
