Compania CrushFTP a avertizat astăzi clienții printr-un memo privat cu privire la o vulnerabilitate zero-day activ exploatată și rezolvată în noile versiuni lansate astăzi, îndemnându-i să-și actualizeze imediat serverele.
După cum a explicat compania și într-o notificare publică de securitate publicată vineri, această eroare zero-day permite atacatorilor neautentificați să scape din sistemul de fișiere virtual al utilizatorului (VFS) și să descarce fișiere de sistem.
Însă cei care folosesc o rețea perimetrală DMZ (zonă demilitarizată) în fața instanței principale CrushFTP sunt protejați împotriva atacurilor.
„Vă rugăm să acționați imediat pentru a patch-ui cât mai repede posibil. O vulnerabilitate a fost raportată astăzi (19 aprilie 2024), și am rezolvat-o imediat. […] Această vulnerabilitate există în sălbăticie,” a avertizat compania clienții prin email.
„Concluzia acestei vulnerabilități este că orice utilizator neautentificat sau autentificat prin WebInterface ar putea să recupereze fișiere de sistem care nu fac parte din VFS-ul lor. Acest lucru ar putea duce la escaladare pe măsură ce află mai multe, etc,” a avertizat CrushFTP.
Compania a avertizat de asemenea clienții cu servere care rulează încă CrushFTP v9 să actualizeze imediat la v11 sau să-și actualizeze instanța prin tabloul de bord.
„Există o simplă revenire la o versiune anterioară în caz că întâmpinați o problemă sau regresie cu unele funcționalități. Actualizați imediat,” a avertizat CrushFTP.
Deficiența de securitate a fost raportată de Simon Garrelou de la Airbus CERT și acum este rezolvată în versiunile CrushFTP 10.7.1 și 11.1.0.
Potrivit Shodan, cel puțin 2.700 de instanțe CrushFTP își expun interfața web online la atacuri, deși este imposibil de determinat câte au fost încă patch-uite.
Compania de securitate cibernetică CrowdStrike a confirmat de asemenea vulnerabilitatea (căreia încă nu i s-a atribuit un ID CVE) într-un raport de informații cu mai multe detalii despre tactici, tehnici și obiectivele atacatorilor (TTP-uri).
CrowdStrike spune că echipele sale Falcon OverWatch și Falcon Intelligence au văzut zero-day-urile CrushFTP fiind exploatate în atacuri direcționate.
Actorii de amenințare vizează serverele CrushFTP ale mai multor organizații din SUA, iar dovezi indică că este vorba despre o campanie de colectare de informații, probabil cu motivație politică.
„Falcon OverWatch și Falcon Intelligence au observat acest exploit fiind folosit în sălbăticie într-un mod țintit,” spune CrowdStrike.
„Utilizatorii CrushFTP ar trebui să continue să urmeze site-ul vendorului pentru cele mai recente instrucțiuni și să prioritizeze patch-urile.”
În noiembrie, clienții CrushFTP au fost și ei avertizați să patch-ui o vulnerabilitate critică de execuție de cod la distanță (CVE-2023-43177) după ce cercetătorii de securitate de la Converge care au raportat deficiența au lansat de asemenea un exploit de tip proof-of-concept.
Palo Alto Networks rezolvă zero-day-ul exploatat pentru a face backdoor la firewall-uri
Microsoft rezolvă două zero-day-uri Windows exploatate în atacuri malware
Defect critic de RCE în 92.000 de dispozitive NAS D-Link acum exploatat în atacuri
Bug-ul Kernel Windows rezolvat luna trecută exploatat ca zero-day începând din august
MITRE spune că hackeri de stat au pătruns în rețeaua sa via zero-day-uri Ivanti
Leave a Reply