内存安全周报第156期 | 勒索软件攻击瞄准未打补丁的WS_FTP服务器

一、勒索软件攻击现在瞄准未打补丁的WS_FTP服务器（10.12）

最近，研究人员观察到，一个自称为Reichsadler网络犯罪团体，试图使用LockBit 3.0生成器创建的勒索软件负载来攻击未打补丁的暴露在互联网上的WS_FTP服务器，但未能成功。

详细情况

研究人员观察到，尽管有关人员在2023年9月发布了解决这一漏洞的补丁，但并非所有服务器都已打补丁。该犯罪团体试图使用开源工具GodPotato升级权限，该工具允许在Windows客户端（从Windows 8到Windows 11）和服务器（从Windows Server 2012到Windows Server 2022）平台上升级至'NT AUTHORITY\SYSTEM'。幸运的是，他们试图在受害者系统上部署勒索软件负载，但最终被挫败，阻止了攻击者加密目标数据的可能性。尽管他们未能加密文件，但该犯罪团体仍然要求支付500美元的赎金，截止日期为莫斯科标准时间的10月15日。低额的赎金要求暗示，很可能会有大规模的自动化攻击，或有经验不足的勒索软件针对互联网暴露和易受攻击的WS_FTP服务器进行操作。

发现WS_FTP漏洞的研究人员在补丁发布后的几天内发布了漏洞利用代码的概念验证（PoC）。研究人员表示：“根据我们对WS_FTP的分析，我们发现互联网上有大约2.9k台运行WS_FTP的主机（并且还暴露了其Web服务器，这对于攻击是必要的）。这些在线资源大多属于大型企业、政府和教育机构。”研究人员透露，攻击者从9月3日开始利用CVE-2023-40044，也就是PoC漏洞发布的那天。“所有观察到实例的过程执行链看起来都是一样的，这表明WS_FTP服务器的易受攻击版本可能正在进行大规模攻击，” 研究人员列出了近2000台运行WS_FTP服务器软件的互联网设备，从而确认了他们最初的估计。

https://www.bleepingcomputer.com/news/security/ransomware-attacks-now-target-unpatched-ws-ftp-servers/

二、被过度炒作的curl漏洞未达到预期（10.12）

curl 8.4.0已发布，用于修复并发布一个备受炒作的高危安全漏洞（CVE-2023-38545），缓解了对该漏洞严重性的长时间担忧。

详细情况

最初被标为严重威胁（CVE-2023-38545）的curl 8.4.0中的受高度关注的安全漏洞实际上并没有像最初担心的那么危险。开发人员曾对该漏洞的严重性提出担忧，引发了用户的广泛关注和担忧。然而，当curl 8.4.0于10月11日发布时，它解决了两个漏洞：高严重性堆缓冲区溢出漏洞（CVE-2023-38545）和低严重性的Cookie注入漏洞（CVE-2023-38546）。更为关键的问题则涉及到curl的SOCKS5代理协议实现中的堆缓冲区溢出。

漏洞的实际影响最终不如最初预期的那么严重。利用漏洞需要特定条件，包括配置curl客户端以使用SOCKS5代理并启用自动重定向到远程站点。此外，成功利用漏洞需要慢速的SOCKS5连接到远程站点。这意味着漏洞主要影响符合这些特定条件的用户，从而减少了其潜在影响。尽管漏洞相对容易被利用，但通常只会导致拒绝服务攻击（使curl崩溃），而不是允许远程代码执行。此外，大多数curl用户不通过SOCKS5代理连接，这意味着该漏洞的影响有限。

这个漏洞仍然可能引起网络安全研究人员和开发人员的兴趣，因为他们通常在工作中使用SOCKS5代理，尤其是在请求API、进行安全测试或调试时。

https://www.bleepingcomputer.com/news/security/hyped-up-curl-vulnerability-falls-short-of-expectations/