Tilkynnt hefur verið um alvarlega veikleika í WS-FTP hugbúnaði frá Progress Software sem er keyrður á netþjónum (e. server) [1,2].
CERT-IS vill vekja sérstaka athygli á eftirfarandi veikleikum:
- CVE-2023-40044 með CVSS einkunn 10.0 sem gerir ógnaraðila kleift að keyra kóða án auðkenningar (e. RCE)
- CVE-2023-42657 með CVSS einkunn 9.9 sem gerir ógnaraðila kleift að framkvæma skráarkerfisskipanir utan þess svæðis á skráarkerfinu sem hugbúnaðurinn hefur heimild til að vinna á (e. perform file operations outside the authorized folder path)
Progress Software tilkynnti [2] um sex aðra veikleika með CVSS einkunn frá 5.3 til 8.3 og bendir á að uppfæra í útgáfu 8.8.2 þar sem gallarnir hafa verið lagfærðir.
CERT-IS mælir með að lesa leiðbeiningar framleiðanda og uppfæra án tafar.
Tilvísanir:
[1] https://www.bleepingcomputer.com/news/security/progress-warns-of-maximum-severity-ws-ftp-server-vulnerability/
[2] https://community.progress.com/s/article/WS-FTP-Server-Critical-Vulnerability-September-2023
