CVE-2023-40044

Progress WS_FTP Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-10-05

Официальное описание

Progress WS_FTP Server contains a deserialization of untrusted data vulnerability in the Ad Hoc Transfer module that allows an authenticated attacker to execute remote commands on the underlying operating system.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-40044 представляет собой критическую уязвимость (CVSS 10.0), связанную с небезопасной десериализацией входных данных в модуле Ad Hoc Transfer программного обеспечения Progress WS_FTP Server.

Проблема заключается в том, что приложение некорректно обрабатывает сериализованные объекты, передаваемые через HTTP-запросы к API модуля. Аутентифицированный злоумышленник может отправить специально сформированный запрос, который при десериализации на стороне сервера приведет к выполнению произвольных команд в операционной системе с правами учетной записи, под которой запущен сервис WS_FTP (обычно NetworkService или LocalSystem).

Как исправить

Основным и рекомендуемым способом устранения уязвимости является обновление WS_FTP Server до версий, в которых данная ошибка исправлена.

  1. Определите текущую версию установленного ПО.
  2. Скачайте соответствующий инсталлятор из личного кабинета Progress Community.
  3. Установите обновление для вашей ветки:
  4. Если используется версия 8.7.x, обновитесь до 8.7.4 или выше.
  5. Если используется версия 8.8.x, обновитесь до 8.8.2 или выше.

Для запуска процесса обновления (пример для версии 8.8.2):

WS_FTP_Server_8.8.2.exe

Временные меры

Если немедленное обновление невозможно, необходимо полностью отключить или удалить функционал Ad Hoc Transfer. Это устранит вектор атаки, так как уязвимый код перестанет быть доступен.

Вариант 1: Удаление модуля через "Программы и компоненты" 1. Откройте Панель управления -> Программы и компоненты. 2. Найдите "Progress WS_FTP Server". 3. Выберите "Изменить" (Change). 4. В мастере установки выберите "Modify". 5. Снимите галочку с компонента "Ad Hoc Transfer". 6. Завершите работу мастера.

Вариант 2: Отключение модуля в IIS (Internet Information Services) Если модуль нельзя удалить, его можно отключить на уровне веб-сервера, удалив соответствующее приложение из конфигурации IIS:

Remove-WebApplication -Site "WS_FTP Server" -Name "AHT"

Также рекомендуется ограничить доступ к административному интерфейсу и API сервера WS_FTP с помощью межсетевого экрана, разрешив подключения только с доверенных IP-адресов.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей