Progress Software Patches Critical Pre-Auth Flaws in WS_FTP Server Product
2023/09/28 SecurityWeek — 9月28日 (木) に、エンタープライズ・テクノロジー・ベンダーの Progress Software は、同社のファイル転送ソフトウェア WS_FTP の深刻な脆弱性にパッチを適用した。そして、この脆弱性を認証前の攻撃者が悪用することで、基盤となる OS に大混乱が生じる可能性があると警告した。Progress Software による緊急速報は、リモートから悪用される可能性のある、少なくとも8件のセキュリティ欠陥を文書化したものだ。また、ユーザー組織に推奨されるのは、WS_FTP Server 2020.0.4 (8.7.4)/WS_FTP Server 2022.0.2 (8.8.2) への早急なアップグレードとなる。
Progress Software によると、それらの脆弱性のうちの2件 (CVE-2023-40044/CVE-2023-40045) は、未認証のリモート・コマンド実行の可能性があるため Critical と評価されている。
Progress Software のニュースレターより:
CVE-2023-40044 (Critical : CVSS : 10): WS_FTP Server のバージョン 8.7.4/8.8.2 未満では、Ad Hoc Transfer モジュールに存在する .NET デシリアライズの脆弱性が、事前に認証された攻撃者に悪用される可能性がある。それにより、基盤となる WS_FTP Server の OS 上での、リモート・コマンド実行へといたる可能性がある。
CVE-2023-42657 (Critical : CVSS : 10): WS_FTP Server のバージョン 8.7.4/8.8.2 未満には、ディレクトリ・トラバーサルの脆弱性が存在する。この脆弱性の悪用に成功した攻撃者は、WS_FTP フォルダ上の無許可のパスに存在するファイルやフォルダに対して、 ファイル操作 (delete/rename/rmdir/mkdir) が可能になる。さらに、 攻撃者は、WS_FTP サーバ上のファイル構造のコンテキストをエスケープし、基礎となる OS 上のファイルやフォルダにおいて、同じレベルの操作 (delete/rename/rmdir/mkdir) を可能にする。
また、Progress Software は、反射型クロス・サイト・スクリプティング (XSS) や SQL インジェクションへといたる、3件の深刻なバグについても注意を促している。
その一方で、同社のセキュリティ対応チームは、MOVEit におけるゼロデイ欠陥を悪用して危殆かさせる、ランサムウェアの波状攻撃への対応に奔走している。
今年に入ってからの同社は、少なくとも3件の深刻な脆弱性に対する緊急パッチをリリースした上で、セキュリティ修正における、シンプルで予測可能で透明性の高いプロセスを備えた、定期的なサービスパックのリリース計画を発表している。
Progress は、「定期的なリリースと予測可能なスケジュールにより、リソースの計画が立てやすくなり、新製品のアップデートや修正プログラムの導入が容易になるとの反応を得ている。これらのサービスパックの一環として、インストールプロセスを最適化して、アップグレード・プロセスを簡素化する予定だ」と述べている。
一般的にソフトウェア・ベンダーは、アプリケーションの更新/修正/機能強化のコレクションを、サービスパックとして提供している。この サービスパックは、集合体としてインストールが可能な、パッケージの形で提供される。
文中にもあるように、いまの Progress にとっては、MOVEit 攻撃への対応が急務のはずです。その上に、WS_FTP サーバに脆弱性が発生したとのことで、さらに大変な状況になっていると思います。ご利用のチームに推奨されるのは、可能な限り迅速なアップデートです。
IoT OT Security News 
You must be logged in to post a comment.