本周资安业者VulnCheck针对文件共享平台ProjectSend重大漏洞CVE-2024-11680提出警告，并指出该漏洞虽然前几天才正式登记CVE编号，但其实是去年就被发现、修补，而且，已有黑客将其用于攻击行动。

ProjectSend是开源文件共享应用程序，该项目在GitHub得到1,500颗星，根据Censys威胁情报平台的分析数据，全球约有超过4千套ProjectSend系统。但资安业者VulnCheck发现，大部分的服务器仍在运行存在漏洞的旧版ProjectSend。

为何会如此？原因可能与这项漏洞迟迟没有登记CVE编号，开发团队也并未发布相关信息有关。这项漏洞起因是身分验证不当，攻击者可在未经身分验证的情况下，向options.php发送伪造的HTTP请求，从而远程触发漏洞，一旦成功，攻击者就能窜改应用程序组态、创建帐号、上传Web Shell，或是嵌入恶意JavaScript脚本，CVSS风险评为9.8，开发团队发布r1720版修补。

该漏洞最早是资安业者Synactiv去年1月通报，开发团队5月尝试修补，到了今年7月，Synactiv公开对这项漏洞提出警告，开发团队8月才正式提供修补程序。

值得留意的是，到11月26日VulnCheck登记CVE编号之前，已有ProjectDiscovery、Rapid7两家资安业者，将这项弱点的规则加入弱点扫描工具Nuclei、渗透测试工具Metasploit，而这样的情况，使得攻击者想要通过滥用这些工具钻漏洞，变得更加容易。

对于漏洞出现实际攻击行动的情况，VulnCheck留意到从互联网存取的ProjectSend服务器约有208台，自9月开始遭到窜改，门户网站的标题变成一长串的随机字符串，而这些字符串的规则，正好与Nuclei与Metasploit加入的漏洞测试规则雷同，换言之，攻击者很可能利用这些规则窜改服务器。

研究人员使用GreyNoise的威胁分析平台进行搜索，结果发现122个攻击来源IP位址，大部分来自德国，但也有爱尔兰、英国、澳洲、日本。这样的情况，代表可能有多组人马试图利用漏洞。

他们看到攻击者一旦成功利用漏洞，就会接着启动用户注册功能，从而取得特殊权限。此外，攻击者很可能在网站根目录（webroot）上传Web Shell的情况。

但在此同时，鲜少有ProjectSend服务器完成更新。研究人员指出，仅有1%左右运行r1750版，采用2022年10月推出的r1605，占了55%，而其余（44%）运行去年4月发布的版本（未公布版号）。考虑到尚未修补的情况非常严重，研究人员推测，攻击者很可能已经准备大肆对这种服务器展开攻击。