ارائه دهنده سیستم انتقال فایل مجازی CrushFTP و محققان امنیتی مختلف زنگ خطر را به صدا در می آورند فرار از جعبه شنی نقص در سرور CrushFTP که مهاجمان قبلاً از آن به عنوان روز صفر در حملات علیه سازمان ها در ایالات متحده استفاده کرده اند.

CrushFTP یک سرور انتقال فایل چند پروتکلی، چند پلتفرمی و مبتنی بر ابر است. آسیب پذیری امنیتی، به عنوان ردیابی شده است CVE-2024-4040، یک اشکال اعتبار سنجی ورودی نامناسب در سرور انتقال فایل CrushFTP نسخه 11.1 است. این شرکت رونمایی کرد و نقص را وصله کرد در 19 آوریل با انتشار نسخه 11.1.0 محصول; با این حال، قبلاً گزارش های مختلفی از عوامل تهدید کننده وجود داشت که این نقص را با یک سوء استفاده موجود چکش می کردند.

طبق گفته شکارچیان تهدید Crowdstrike، Falcon OverWatch و Falcon Intelligence، این حملات، که به طور بالقوه "با انگیزه سیاسی" بودند، ماهیت آنها برای جمع آوری اطلاعات و شناسایی در نهادهای مختلف ایالات متحده بود. یک مشاوره منتشر کرد روی Reddit.

یک سناریوی حمله در حال توسعه برای انتقال فایل ابری

سناریوی حمله در حال توسعه است، با تحقیقات جدید توسط Tenable که در 23 آوریل منتشر شد و بیش از 7,100 سرور CrushFTP را شناسایی کرد. دسترسی عمومی بر اساس این گزارش، "بر اساس یک جستجوی Shodan در قالب Nuclei ایجاد شده توسط h4sh". ساتنام نارنگ، مهندس تحقیقاتی ارشد کارکنان Tenable، در این پست خاطرنشان کرد: «معلوم نیست که چه تعداد از این سیستم ها به طور بالقوه آسیب پذیر هستند.

با توجه به این موضوع، احتمالاً حملات بر روی سرورهای اصلاح نشده ادامه خواهد یافت یک سوء استفاده اثبات مفهوم (PoC). نارنگ افزود: این نقص اکنون به صورت عمومی در دسترس است، توسط محققی که این نقص را کشف کرده و به CrushFTP گزارش کرده بود، Simon Garrelou از تیم واکنش اضطراری جامعه ایرباس (CERT) در 23 آوریل در GitHub ارسال شد.

نارنگ نوشت، سایر مهاجمان نیز با هدف قرار دادن کاربران با PoC های جعلی، قصد دارند از تمام توجهات موجود در این نقص بهره ببرند، و اشاره کرد که قبلاً یک مخزن در GitHub پست شده است که کاربران را به یک سایت شخص ثالث به نام SatoshiDisk هدایت می کند که درخواست پرداخت می کند. 0.00735 بیت کوین (حدود 513 دلار) برای سوء استفاده ادعایی.

نارنگ نوشت: "بعید است که کد اکسپلویت کار کند و ما انتظار نداریم که ماهیت مخرب داشته باشد." در عوض، احتمال بیشتری وجود دارد که مهاجمان به دنبال کسب درآمد از بهره مندی در کد اکسپلویت برای این آسیب پذیری باشند.

CVE-2024-4040: پتانسیل برای RCE

آسیب پذیری که توسط فروشنده توضیح داده شده است، یک نقص خواندن دلخواه است که به مهاجمی با امتیازات پایین اجازه می دهد تا از سرور فرار کند. سیستم فایل مجازی (VFS) sandbox برای دسترسی و دانلود فایل های سیستم.

محققان Rapid7 در یک پست وبلاگی منتشر شده در 23 آوریل خاطرنشان کردند، با این حال، شواهدی وجود دارد که نشان می دهد این نقص بیشتر از آنچه تاکنون گزارش شده است، وجود دارد.

کیتلین کاندون، مدیر اطلاعات آسیب‌پذیری Rapid7 در این پست نوشت: «اگرچه این آسیب‌پذیری رسماً به عنوان یک فایل دلخواه خوانده شده است، Rapid7 معتقد است که می‌توان آن را با دقت بیشتری به عنوان تزریق قالب سمت سرور (SSTI) دسته‌بندی کرد.

CVE-2024-4040 یک "نقص کاملاً تایید نشده" است و به راحتی قابل بهره برداری است. بهره برداری موفق او مشاهده کرد که نه تنها فایل دلخواه را به عنوان ریشه خوانده می‌شود، بلکه امکان دور زدن احراز هویت برای دسترسی به حساب سرپرست و اجرای کامل کد از راه دور (RCE) را نیز فراهم می‌کند.

کاندون نوشت: «استثمار موفقیت‌آمیز به یک مهاجم از راه دور و بدون احراز هویت اجازه می‌دهد تا به تمام فایل‌های ذخیره‌شده در نمونه CrushFTP دسترسی پیدا کند و به طور بالقوه از آن‌ها استخراج کند.

کد اکسپلویت موجود است

اکسپلویت PoC ارسال شده توسط Garrelou شامل دو اسکریپت است. طبق پست GitHub اولین مورد، scan_host.py، تلاش می‌کند از این آسیب‌پذیری برای خواندن فایل‌های خارج از sandbox استفاده کند.

به گفته گارلو، «اگر موفق شود، اسکریپت Vulnerable را به خروجی استاندارد می‌نویسد و با کد خروج 1 برمی‌گردد». "اگر سوء استفاده از آسیب پذیری موفقیت آمیز نباشد، اسکریپت Not vulnerable را می نویسد و با کد وضعیت 0 خارج می شود."

اسکریپت دوم، scan_logs.py، به دنبال نشانگرهای سازش در دایرکتوری نصب سرور CrushFTP می‌گردد و پس از یافتن آن‌ها، سعی می‌کند IP را استخراج کند که سعی در سوء استفاده از سرور دارد.

اکنون برای محافظت کامل وصله کنید

به گفته این شرکت و محققان امنیتی، بهترین راه برای سازمان‌هایی که CrushFTP در محیط خود دارند برای کاهش این وضعیت، به‌روزرسانی سیستم‌های خود به نسخه وصله‌شده محصول در حال حاضر است.

مشتریانی که از یک front-end استفاده می کنند سرور منطقه غیرنظامی (DMZ) طبق گفته CrushFTP، برای پردازش پروتکل‌ها و اتصالات در مقابل نمونه اصلی CrushFTP، به دلیل سیستم ترجمه پروتکل مورد استفاده در DMZ، حفاظت جزئی در برابر سوء استفاده داده می‌شود.

این شرکت در مشاوره خود به مشتریان توصیه کرد: «اما DMZ به طور کامل از شما محافظت نمی کند و باید فوراً به روز رسانی کنید. Rapid2024's Condon خاطرنشان کرد: یکی از عواملی که تشخیص بهره برداری از CVE-4040-7 توسط سازمان را پیچیده می کند این است که محموله ها "می توانند به اشکال مختلف تحویل شوند."

او نوشت: «هنگامی که برخی از تکنیک‌های گریز استفاده می‌شوند، محموله‌ها از لاگ‌ها و تاریخچه درخواست‌ها حذف می‌شوند و تشخیص درخواست‌های مخرب از ترافیک قانونی دشوار خواهد بود.

به همین دلیل، Rapid7 توصیه می کند که مشتریان CrushFTP با فعال کردن حالت سرور محدود با محدودترین پیکربندی ممکن، سرورهای خود را در برابر حملات RCE در سطح مدیر سخت کنند. کاندون اضافه کرد که آنها همچنین باید از فایروال‌ها تا جایی که ممکن است برای محدود کردن آدرس‌های IP مجاز برای دسترسی به خدمات CrushFTP استفاده کنند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cloud-security/patch-crushftp-zero-day-cloud-exploit-targets-us-orgs