黑客利用 ProjectSend 漏洞对暴露的服务器进行后门处理

主要观点总结

恶意分子利用ProjectSend的身份验证绕过漏洞CVE-2024-11680上传Webshell并获得对服务器的远程访问。漏洞影响多个ProjectSend版本，允许攻击者发送特制请求更改配置，包括创建流氓账户、植入Webshell和嵌入恶意JavaScript代码。尽管已修复，但许多实例仍易受攻击，且攻击活动有所增长。

关键观点总结

关键观点1: ProjectSend存在身份验证绕过漏洞CVE-2024-11680

该漏洞允许攻击者向“options.php”发送特制HTTP请求以更改应用程序的配置，从而执行恶意活动。

关键观点2: 漏洞影响多个ProjectSend版本，修补速度慢

大多数ProjectSend实例仍易受攻击，大约99%的实例运行的是易受攻击的版本。

关键观点3: 攻击活动包括更改系统设置、获得未经授权的访问和部署Webshell

攻击者通过上传Webshell到“upload/files”目录并利用该漏洞保持对受感染服务器的控制。

关键观点4: 研究人员建议尽快升级到ProjectSend r1750版本

由于攻击可能已经很普遍存在，研究人员建议用户尽快升级到较安全的版本，以避免受到攻击。