กลุ่ม Ransomware กำลังโจมตีโดยใช้ช่องโหว่ที่ได้รับการแก้ไขล่าสุดของ WS_FTP Server แอปพลิเคชันแชร์ไฟล์โดย Progress Software หรือที่รู้จักกันในชื่อ MOVEit file transfer tool ช่องโหว่ Critical zero-day ที่พบใน MOVEit ในช่วงปลายเดือนพฤษภาคมที่ถูกโจมตีโดยกลุ่ม cl0p ransomware ที่ผ่านมา และมีรายงานว่าส่งผลกระทบต่อองค์กรกว่า 600 แห่งและผู้คน 40 ล้านคน โดยผลกระทบที่ว่ายังคงเพิ่มขึ้น

‍

จาก 8 ช่องโหว่ของ WS_FTP Server ที่ได้รับการแก้ไขแล้ว มี 2 ช่องโหว่ที่ได้รับการจัดอันดับความรุนแรงเป็น Critical 

ช่องโหว่แรกใช้หมายเลย CVE คือ CVE-2023-40044 (CVSS score 10) เป็นช่องโหว่ Deserialization ของ .NET ที่ช่วยให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์ ผ่าน HTTP request ซึ่งมีผลกระทบเฉพาะ WS_FTP Server ที่ติดตั้ง Ad Hoc Transfer module

ช่องโหว่ที่สองใช้หมายเลย CVE คือ CVE-2023-42657 (CVSS score 9.9) เป็นช่องโหว่ Directory Traversal ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่นี้เพื่อดำเนินการลบ เปลี่ยนชื่อ ของไฟล์และโฟลเดอร์ที่

‍

เนื่องจากมีนักวิจัยด้านความปลอดภัยบน Twitter/X และทาง Assetnote ได้ปล่อย PoC ของ  CVE-2023-40044 จึงอาจเป็นสาเหตุทำให้ผู้ไม่หวังดีได้ Exploit จากช่องโหว่นี้

ระบบที่ได้รับผลกระทบ

• WS_FTP Server 2020 เวอร์ชันต่ำกว่า 2020.0.4 (8.7.4)
• WS_FTP Server 2022 เวอร์ชันต่ำกว่า 2022.0.2 (8.8.2)

‍

แนวทางการลดผลกระทบ

• อัปเดตเวอร์ชันของ WS_FTP Server ให้เป็นเวอร์ชันที่แก้ไขแล้ว
• หากไม่สามารถอัพเดตแพตช์ได้ทันที ให้ลบหรือปิดการใช้งาน WS_FTP Server Ad hoc Transfer Module

‍

อ้างอิง

• https://community.progress.com/s/article/WS-FTP-Server-Critical-Vulnerability-September-2023
• https://community.progress.com/s/article/Removing-or-Disabling-the-WS-FTP-Server-Ad-hoc-Transfer-Module

‍

‍