Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in ProjectSend, een webapplicatie voor het uitwisselen van bestanden en een groot aantal servers is kwetsbaar, zo meldt securitybedrijf VulnCheck. Een beveiligingsupdate voor de kwetsbaarheid (CVE-2024-11680) is sinds 3 augustus beschikbaar. ProjectSend is een applicatie die op een webserver wordt geïnstalleerd. Vervolgens is het mogelijk om via de applicatie bestanden naar de server te uploaden en die met anderen te delen.

Een 'improper authentication' kwetsbaarheid maakt het mogelijk voor ongeauthenticeerde aanvallers om op afstand een HTTP-request naar de applicatie te sturen, waarmee de configuratie is aan te passen (pdf). Vervolgens kunnen aanvallers zo zelf accounts aanmaken en webshells uploaden om toegang tot de server te behouden en verdere aanvallen uit te voeren. Daarnaast is het embedden van malafide JavaScript mogelijk. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

ProjectSend kwam op 3 augustus met versie r1720 waarin de kwetsbaarheid is verholpen. Eind augustus en begin september verschenen op internet exploits om misbruik van het beveiligingslek te maken en inmiddels is ook daadwerkelijk misbruik waargenomen, aldus VulnCheck. Volgens securitybedrijf Censys zijn meer dan vierduizend ProjectSend-servers vanaf internet toegankelijk. Onderzoekers van VulnCheck ontwikkelden een scanner om de versie van toegankelijke servers te controleren. Daaruit blijkt dat slechts één procent versie r1720 draait. De overige servers maken gebruik van een kwetsbare versie.