Progress Software 批评研究人员迅速公开漏洞演示

关键要点

• Progress Software 对于研究员通过社交媒体迅速公布其 WS_FTP 文件传输解决方案中的关键漏洞的概念验证（PoC）表示 “失望”。
• 漏洞被追踪为 ，并在社交平台 X 上由用户 “MCKSys Argentina” 于 9 月 29 日分享。
• Progress 于 9 月 27 日披露了多个漏洞并发布了补丁，但表示不知道这些漏洞已被利用。

Progress Software 对一名研究人员迅速转向社交媒体发布其 WS_FTP 文件传输解决方案中的关键漏洞概念验证感到“失望”。9 月 29日，一位名为 “MCKSys Argentina” 的用户在社交平台 X 上分享了其中一个漏洞的 PoC，利用的是被追踪为
的 .NET 反序列化漏洞。

Progress 已于 两个漏洞，并为多个 WS_FTP缺陷发布了补丁。该用户的 X 帖子随后引发了 Assetnote 发布的研究报告，详细介绍了其开发的
。Assetnote 的帖子与其在 X 上发布的研究无关。

在其 CVE-2023-40044 的 PoC 披露中，Assetnote 写道：“我们的协调披露政策规定，在向供应商报告后的 90天内，我们会通过官网披露信息。”

有关漏洞实际被恶意利用的报告给 Progress 带来新的麻烦，因为该公司仍在处理来自其另一产品 的后果。

理顺复杂的时间线

Progress 在 表示，已为其 WS_FTP 服务器的 Ad Hoc转移模块和管理界面发布了八个漏洞的补丁，其中两个为关键漏洞。

其中一个关键漏洞是在 Ad Hoc 转移模块中存在的 .NET 反序列化漏洞
()，它的 CVSS评分为最高的 10。另一个是在早于 8.74 和 8.8.2 的 WS_FTP 服务器版本中的目录遍历漏洞
()，评分为 9.9。

Progress 促请顾客应用其发布的补丁，但表示并未意识到这些漏洞正在被利用。

在一份声明中，Progress 的发言人提到不满并未指向 Assetnote，而是对于第三方如何快速发布 PoC 的速度表示失望。

“这为威胁行为者提供了利用这些漏洞的路线图，而很多我们的客户仍在应用补丁的过程中，”发言人表示。

“遗憾的是，在我们发布补丁后，第三方迅速构建并发布了
PoC，赋予了网络犯罪分子攻击我们客户的工具……我们希望社区能够制止这种在软件供应商发布安全补丁后迅速发布 POC 的不负责任行为。”

Progress 认为，发布在 X 上的 PoC 是根据其漏洞披露和公司的补丁进行逆向工程而生成的。

Assetnote 则表示其独立开发的 PoC 是通过其对实际漏洞进行独立分析和发现而得出的。在 上，由 MITRE公司维护，Assetnote 的研究人员 Shubham Shah 和 Sean Yeoh 被归功于发现 CVE-2023-40044。