По данным Crowdstrike, злоумышленники целенаправленно используют уязвимость (CVE-2024-4040) в корпоративном решении для передачи файлов CrushFTP.
Эта уязвимость позволяет злоумышленникам выйти из своей виртуальной файловой системы и загрузить системные файлы (т. е. файлы конфигурации), но только в том случае, если веб-интерфейс решения доступен в Интернете.
По данным Censys, в настоящее время существует более 9600 общедоступных хостов CrushFTP (виртуальных и физических), в основном в Северной Америке и Европе.
О CVE-2024-4040
CrushFTP разослал клиентам уведомления об CVE-2024-4040 в пятницу (19 апреля).
«Суть этой уязвимости заключается в том, что любой неаутентифицированный или аутентифицированный пользователь через веб-интерфейс может получить системные файлы, которые не являются частью его VFS. Это может привести к эскалации ситуации по мере того, как они узнают больше и т. д.», — заявили в компании.
Уязвимость, обнаруженная Саймоном Гаррелу, инженером по безопасности в Airbus CERT, затрагивает CrushFTP v11 и v10 и была исправлена в v11.1.0 и v10.7.1. Клиентам, которые все еще используют CrushFTP v9, следует выполнить обновление до версии v11.1.0.
Клиенты, использующие DMZ перед своим основным экземпляром CrushFTP, защищены лишь частично. Всем рекомендуется немедленно обновить хосты.
По словам компании, не существует однозначного способа проверить, был ли использован эксплойт против хоста CrushFTP, подключенного к Интернету.
«Природа этого заключалась в обычных словах, которые уже могли быть в вашем журнале. Таким образом, не существует универсального поискового запроса, который можно было бы проверить», — сказали они.
Цели
Эти атаки на хосты CrushFTP кажутся разведывательными усилиями. В Crowdstrike заявили, что несколько американских организаций были расследованы и что эта деятельность по сбору разведданных может быть политически мотивированной.
Однако в последнее время среди злоумышленников, использующих программы-вымогатели, стали популярны решения нулевого дня в решениях для передачи файлов корпоративного уровня.
2024-04-23 09:50:11
1713866461
#CrushFTP #нулевого #дня #использованный #злоумышленниками #немедленно #обновите #CVE20244040
