超过 1,400 个 CrushFTP 实例容易受到零日漏洞的攻击

Shadowserver 基金会的数据显示，超过 1,400 个 CrushFTP 托管文件传输软件实例仍然容易受到最近披露的零日漏洞的影响。

该漏洞被追踪为CVE-2024-4040（CVSS 评分为 9.8），被描述为服务器端模板注入，允许远程攻击者逃离虚拟文件系统 (VFS) 沙箱、获得管理权限并执行任意命令代码。

CrushFTP 于 4 月 19 日披露了该漏洞，警告客户不要进行野外利用，并敦促他们升级到解决该问题的版本 10.71 或 11.1.0。 CrushFTP 版本 9、10 和 11 受到影响。

4 月 22 日，也就是空中客车 CERT 的 Simon Garrelou（因发现 CVE-2024-4040 而获得赞誉）发布针对该漏洞的概念验证 (PoC) 代码的前一天，CrushFTP 更新了其公告，警告在前面使用 DMZ应用程序的版本不再被视为保护选项，迁移到修补版本至关重要。

4 月 24 日，美国网络安全机构 CISA 将该安全缺陷添加到其已知可利用漏洞 (KEV) 目录中，为联邦机构确定了识别其环境中易受攻击的主机并在 5 月 1 日之前进行修补的最后期限。

虽然观察到的攻击的详细信息很少，但 CrowdStrike 一周前警告称，威胁行为者一直在以有针对性的方式利用它，主要针对美国的实体。

攻击集中在美国并不令人意外。Censys 表示，运行 CrushFTP 服务器的大约 5,000 台主机中有一半位于美国，而Tenable声称可能有超过 7,100 个可公开访问的 CrushFTP 服务器，其中 2,900 个位于美国。

周四，Shadowserver 基金会表示，超过 1,400 个可公开访问的 CrushFTP 安装可能受到该漏洞的影响。其中，700 多个在美国。

建议 CrushFTP 客户尽快更新到企业文件传输应用程序的修补版本。据 Rapid7 称，CVE-2024-4040 不仅受到积极利用，而且“它完全未经身份验证，而且很容易被利用。”

“成功利用该漏洞不仅可以以 root 身份读取任意文件，还可以绕过身份验证以进行管理员帐户访问和完全远程代码执行。成功利用该漏洞后，未经身份验证的远程攻击者可以访问并可能窃取 CrushFTP 实例上存储的所有文件。” Rapid7 解释道。

该网络安全公司还指出，检测利用尝试很困难，因为该错误的有效负载可以以多种形式传递，并且可以操纵日志和请求历史记录以删除攻击证据。此外，甚至标准反向代理后面的 CrushFTP 实例也可能成为攻击目标。