Według Crowdstrike luka (CVE-2024-4040) w rozwiązaniu do przesyłania plików dla przedsiębiorstw CrushFTP jest wykorzystywana przez osoby atakujące w ukierunkowany sposób.
Luka umożliwia atakującym ucieczkę od domyślnego systemu plików i pobranie plików systemowych (tj. plików konfiguracyjnych), ale tylko wtedy, gdy interfejs sieciowy rozwiązania zostanie ujawniony w Internecie.
według SynezaObecnie dostępnych jest publicznie ponad 9600 hostów CrushFTP (wirtualnych i fizycznych), większość z nich w Ameryce Północnej i Europie.
Informacje o CVE-2024-4040
Wyślij CrushFTP Powiadomienia CVE-2024-4040 został ogłoszony klientom w piątek (19 kwietnia).
„Wnioskiem z tej luki jest to, że każdy nieuwierzytelniony użytkownik lub uwierzytelniony za pomocą interfejsu WebInterface może pobrać pliki systemowe, które nie są częścią jego VFS, co może prowadzić do eskalacji w miarę zdobywania większej wiedzy itd.” – stwierdziła firma.
Simon Jarillo, inżynier bezpieczeństwa w Airbus CERT, odkrył lukę w CrushFTP v11 I v10i zostało poprawione w wersjach v11.1.0 i v10.7.1. Klienci nadal korzystający z CrushFTP v9 powinni dokonać aktualizacji do wersji 11.1.0.
Klienci korzystający ze strefy DMZ przed główną instancją CrushFTP są chronieni tylko częściowo. Zaleca się każdemu natychmiastową aktualizację hostów.
Według firmy nie ma konkretnego sposobu sprawdzenia, czy luka została wykorzystana w stosunku do hosta CrushFTP podłączonego do Internetu.
„Są to pospolite słowa, które mogły już znajdować się w Twojej historii, więc nie ma magicznego wyszukiwanego hasła, które można by sprawdzić” – stwierdzili.
Cele
Te ataki na hosty CrushFTP wydają się być próbami rozpoznawczymi. Crowdstrike stwierdził, że dochodzenie prowadzi kilka podmiotów w USA i że gromadzenie danych wywiadowczych może być motywowane politycznie.
Jednak wśród atakujących korzystających z oprogramowania ransomware popularne stały się ostatnio rozwiązania do przesyłania plików klasy korporacyjnej.