CVE-2023-40044 :
Progress WS_FTP
TL ; DR : WS_FTP
Versions affectées du logiciel WS_FTP :
- Toutes versions antérieures à :
- 8.7.4
- 8.8.2
Désérialisation avant authentification : les vulnérabilités de WS_FTP
En date du 27 Septembre 2023, la société Progress a publié une série de huit vulnérabilités allant de medium (CVSS3.1 : 5.3) à des vulnérabilités critical (CVSSv3.1 : 10) concernant le logiciel WS_FTP.
Même si le nom de la société n’est pas nécessairement familier, l’un de ses produits a défrayé la chronique en juin dernier. En effet, Progress est derrière le logiciel MOVEit, dont les vulnérabilités divulguées au début de l’été ont été largement exploitées afin de déployer le ransomware Cl0p.
À l’instar de MOVEit, WS_FTP est un logiciel permettant le transfert de fichiers. Comme son nom l’indique, il repose initialement sur le protocole FTP pour effectuer des transferts. Cependant, différents modules existent afin d’étendre les fonctionnalités du produit. En particulier, le module appelé Ad-Hoc Transfer qui permet de mettre à disposition d’un tiers un fichier via un navigateur ou Microsoft Outlook. C’est dans ce dernier que réside la vulnérabilité CVE-2023-40044 (CVSSv3.1 : 10).
La vulnérabilité en elle-même est relativement simple. Il s’agit d’une désérialisation utilisant un formatter ne prenant pas de précaution lors du traitement des informations fournies en entrée.
La sérialisation consiste à transformer une structure de données ou un objet en un autre format afin de permettre son stockage ou sa transmission. A l’inverse, la désérialisation transforme une suite d’octets ou une chaine de caractères en un objet ou une structure de données.
Toutefois, si les données ne subissent pas un processus d’assainissement adéquat, il devient envisageable d’instancier un objet différent de celui attendu. Cela peut entraîner un déni de service (DoS) , voire une exécution de code à distance (RCE). Ce type de vulnérabilité est référencée par le MITRE sous l’identifiant CWE-502.
D’après les travaux publiés sur cette vulnérabilité, le formatter utilisé ici est un BinaryFormatter, pour lequel Microsoft met en garde contre son utilisation dans sa documentation.
Détection et résolutions des vulnérabilités
Depuis le 03/10, la vulnérabilité CVE-2023-40044 ne dispose pas d’une règle de détection réseau dédiée (sid: 2048383).
En revanche, la règle de détection se base sur la nécessité de ne pas avoir de champ filename mais un champ name dans la requête afin de suivre le chemin d’exécution menant à la vulnérabilité.
Des templates nuclei ont également été proposés par la communauté afin de pouvoir effectuer des vérifications actives.
Depuis le début du mois, nous avons observé cette vulnérabilité à plusieurs reprises. L’éditeur, ayant publié les correctifs, conseille fortement de mettre à jour les applications dès que possible. Dans le cas où l’application du correctif serait impossible, ou si la version utilisée n’est plus supportée, l’éditeur recommande de désactiver le module Ad-Hoc Transfer.
Auteur : Purple Team Gatewatcher
Ressources
- Progress advisory : https://community.progress.com/s/article/WS-FTP-Server-Critical-Vulnerability-September-2023
- Assetnote.io write-up : https://www.assetnote.io/resources/research/rce-in-progress-ws-ftp-ad-hoc-via-iis-http-modules-cve-2023-40044
- Nuclei template : https://github.com/ed-red/redmc_custom_templates_nuclei/blob/7303c5dbdb32fde46fba696ba0c8faedbc5f0b8b/http/cves/2023/CVE-2023-40044.yaml