Sanal dosya aktarım sistemi sağlayıcısı CrushFTP ve çeşitli güvenlik araştırmacıları, bir sanal kaçış Saldırganların halihazırda ABD'deki kuruluşlara yönelik saldırılarda sıfır gün olarak kullandığı CrushFTP sunucusundaki kusur.
CrushFTP, çok protokollü, çok platformlu, bulut tabanlı bir dosya aktarım sunucusudur. Şu şekilde izlenen güvenlik açığı: CVE-2024-4040CrushFTP dosya aktarım sunucusunun 11.1 sürümündeki uygunsuz bir giriş doğrulama hatasıdır. Şirket açıklandı ve kusuru yamaladı 19 Nisan'da ürünün 11.1.0 sürümünün yayınlanmasıyla; ancak tehdit aktörlerinin mevcut bir istismarla açığı kapattığı yönünde çeşitli raporlar zaten mevcuttu.
Crowdstrike'ın tehdit avcıları Falcon OverWatch ve Falcon Intelligence'a göre, potansiyel olarak "siyasi amaçlı" olan bu saldırılar, doğası gereği istihbarat toplamak amacıyla hedef alındı ve çeşitli ABD birimlerinde tespit edildi. bir danışma yayınladı Reddit
Bulut Dosya Aktarımı için Gelişen Bir Saldırı Senaryosu
Saldırı senaryosu gelişiyor ve Tenable tarafından 23 Nisan'da yayınlanan ve 7,100'den fazla CrushFTP sunucusunu tanımlayan yeni araştırmayla birlikte herkese açık erişilebilir Rapora göre "h4sh tarafından oluşturulan bir Nuclei şablonundaki Shodan sorgusuna dayanıyor." Ancak Tenable kıdemli personel araştırma mühendisi Satnam Narang, gönderisinde "Bu sistemlerden kaçının potansiyel olarak savunmasız olduğu belirsiz" dedi.
Şu koşullar göz önüne alındığında, yama uygulanmamış sunucularda saldırıların devam etmesi muhtemeldir kavram kanıtından (PoC) yararlanma Narang, Airbus Topluluğu Acil Durum Müdahale Ekibi'nden (CERT) Simon Garrelou, kusurun artık kamuya açık olduğunu ve açığı CrushFTP'ye bildiren araştırmacı tarafından 23 Nisan'da GitHub'da yayınlandığını ekledi.
Narang, diğer saldırganların da kullanıcıları sahte PoC'lerle hedef alarak kusurdaki tüm dikkatlerden yararlanmayı amaçladığını yazdı ve GitHub'da kullanıcıları SatoshiDisk adlı üçüncü taraf bir siteye yönlendiren ve ödeme talep eden bir veri havuzunun zaten bulunduğunu belirtti. İddia edilen bir istismar için 0.00735 bitcoin (yaklaşık 513 $).
Narang, "İstismar kodunun işe yaraması pek olası değil ve doğası gereği kötü amaçlı olmasını beklemiyoruz" diye yazdı. "Bunun yerine, saldırganların bu güvenlik açığına yönelik yararlanma kodunun faizinden para kazanmaya çalışması daha muhtemel."
CVE-2024-4040: RCE Potansiyeli
Satıcı tarafından açıklanan güvenlik açığı, düşük ayrıcalıklara sahip bir saldırganın sunucunun güvenlik açıklarından kaçmasına olanak tanıyan rastgele bir okuma kusurudur. sanal dosya sistemi (VFS) Sistem dosyalarına erişmek ve indirmek için sanal alan.
Ancak Rapid7 araştırmacıları 23 Nisan'da yayınlanan bir blog yazısında, bunun şu ana kadar bildirilenden daha kusurlu olduğuna dair kanıtlar bulunduğunu belirtti.
Rapid7'nin güvenlik açığı istihbaratı direktörü Caitlin Condon, gönderisinde şunları yazdı: "Güvenlik açığı resmi olarak rastgele bir dosya okuması olarak tanımlanmış olsa da, Rapid7 bunun sunucu tarafı şablon enjeksiyonu (SSTI) olarak daha doğru bir şekilde sınıflandırılabileceğine inanıyor."
CVE-2024-4040 "kimliği doğrulanmamış bir kusurdur" ve istismar edilmesi kolaydır; başarılı sömürü Yalnızca veya rastgele dosyanın kök olarak okunmasına izin vermekle kalmayıp, aynı zamanda yönetici hesabı erişimi ve tam uzaktan kod yürütme (RCE) için kimlik doğrulamanın atlanmasına da izin verdiğini gözlemledi.
Condon, "Başarılı bir şekilde yararlanma, uzak, kimliği doğrulanmamış bir saldırganın CrushFTP örneğinde depolanan tüm dosyalara erişmesine ve potansiyel olarak bunları sızdırmasına olanak tanır" diye yazdı.
Kullanım Kodu Mevcut
Garrelou tarafından yayınlanan PoC istismarı iki komut dosyası içeriyor. GitHub gönderisine göre, ilki olan scan_host.py, sanal alan dışındaki dosyaları okumak için güvenlik açığını kullanmaya çalışıyor.
Garrelou'ya göre "Başarılı olursa, komut dosyası standart çıktıya Savunmasız yazar ve çıkış kodu 1 ile geri döner." "Güvenlik açığından yararlanma başarısız olursa, komut dosyası Güvenlik açığı yok yazar ve 0 durum koduyla çıkar."
İkinci komut dosyası, scan_logs.py, CrushFTP sunucusu kurulum dizinindeki tehlike göstergelerini arar ve bunları bulduktan sonra, sunucudan yararlanmaya çalışan IP'yi çıkarmaya çalışacaktır.
Tam Koruma İçin Şimdi Yama Yapın
Şirket ve güvenlik araştırmacıları, çevrelerinde CrushFTP bulunan kuruluşların durumu hafifletmenin en iyi yolunun, sistemlerini ürünün yamalı sürümüne güncellemelerini tavsiye etti.
Ön uç kullanan müşteriler askerden arındırılmış bölge (DMZ) sunucusu CrushFTP'ye göre, ana CrushFTP örneğinin önünde protokolleri ve bağlantıları işlemek için kullanılan cihazlar, DMZ'de kullanılan protokol çeviri sistemi nedeniyle istismara karşı kısmi koruma sağlıyor.
Şirket, tavsiye niteliğindeki tavsiyesinde müşterilere "Ancak DMZ sizi tam olarak korumaz ve hemen güncellemelisiniz" dedi. Rapid2024'den Condon, bir kuruluşun CVE-4040-7'tan yararlanıldığını tespit etmesini zorlaştıran faktörlerden birinin de yüklerin "birçok farklı biçimde teslim edilebilmesi" olduğunu belirtti.
"Belirli kaçınma teknikleri kullanıldığında, veriler günlüklerden ve istek geçmişinden çıkarılacak ve kötü niyetli isteklerin yasal trafikten ayırt edilmesi zor olacak" diye yazdı.
Bu nedenle Rapid7, CrushFTP müşterilerinin mümkün olan en kısıtlayıcı yapılandırmayla Sınırlı Sunucu modunu etkinleştirerek sunucularını yönetici düzeyindeki RCE saldırılarına karşı güçlendirmelerini önerir. Condon, CrushFTP hizmetlerine erişmesine izin verilen IP adreslerini agresif bir şekilde kısıtlamak için mümkün olan her yerde güvenlik duvarları kullanmaları gerektiğini de ekledi.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cloud-security/patch-crushftp-zero-day-cloud-exploit-targets-us-orgs
