超过 1,400 个 CrushFTP 实例容易受到零日漏洞的攻击

阅读量36426

发布时间 : 2024-04-28 11:31:12

Shadowserver 基金会的数据显示,超过 1,400 个 CrushFTP 托管文件传输软件实例仍然容易受到最近披露的零日漏洞的影响。

该漏洞被追踪为CVE-2024-4040(CVSS 评分为 9.8),被描述为服务器端模板注入,允许远程攻击者逃离虚拟文件系统 (VFS) 沙箱、获得管理权限并执行任意命令代码。

CrushFTP 于 4 月 19 日披露了该漏洞,警告客户不要进行野外利用,并敦促他们升级到解决该问题的版本 10.71 或 11.1.0。 CrushFTP 版本 9、10 和 11 受到影响。

4 月 22 日,也就是空中客车 CERT 的 Simon Garrelou(因发现 CVE-2024-4040 而获得赞誉)发布针对该漏洞的概念验证 (PoC) 代码的前一天,CrushFTP 更新了其公告,警告在前面使用 DMZ应用程序的版本不再被视为保护选项,迁移到修补版本至关重要。

4 月 24 日,美国网络安全机构 CISA 将该安全缺陷添加到其已知可利用漏洞 (KEV) 目录中,为联邦机构确定了识别其环境中易受攻击的主机并在 5 月 1 日之前进行修补的最后期限。

虽然观察到的攻击的详细信息很少,但 CrowdStrike 一周前警告称,威胁行为者一直在以有针对性的方式利用它,主要针对美国的实体。

攻击集中在美国并不令人意外。Censys 表示,运行 CrushFTP 服务器的大约 5,000 台主机中有一半位于美国,而Tenable声称可能有超过 7,100 个可公开访问的 CrushFTP 服务器,其中 2,900 个位于美国。

周四,Shadowserver 基金会表示,超过 1,400 个可公开访问的 CrushFTP 安装可能受到该漏洞的影响。其中,700 多个在美国。

建议 CrushFTP 客户尽快更新到企业文件传输应用程序的修补版本。据 Rapid7 称,CVE-2024-4040 不仅受到积极利用,而且“它完全未经身份验证,而且很容易被利用。”

“成功利用该漏洞不仅可以以 root 身份读取任意文件,还可以绕过身份验证以进行管理员帐户访问和完全远程代码执行。成功利用该漏洞后,未经身份验证的远程攻击者可以访问并可能窃取 CrushFTP 实例上存储的所有文件。” Rapid7 解释道。

该网络安全公司还指出,检测利用尝试很困难,因为该错误的有效负载可以以多种形式传递,并且可以操纵日志和请求历史记录以删除攻击证据。此外,甚至标准反向代理后面的 CrushFTP 实例也可能成为攻击目标。

本文转载自:

如若转载,请注明出处: https://www.securityweek.com/over-1400-crushftp-instances-vulnerable-to-exploited-zero-day/

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66