Провайдер віртуальної системи передачі файлів CrushFTP і різні дослідники безпеки б'ють на сполох щодо a втеча з пісочниці недолік у сервері CrushFTP, який зловмисники вже використовували як нульовий день для атак на організації в США.

CrushFTP — це багатопротокольний, мультиплатформенний, хмарний сервер передачі файлів. Вразливість безпеки, відстежується як CVE-2024-4040, є помилкою перевірки неправильного введення на сервері передачі файлів CrushFTP версії 11.1. Компанія представила і виправили недолік 19 квітня з виходом версії 11.1.0 продукту; однак уже надходило кілька повідомлень про те, що зловмисники забивали недолік за допомогою існуючого експлойта.

За словами мисливців за загрозами Crowdstrike Falcon OverWatch і Falcon Intelligence, ці атаки, які були потенційно «політично мотивованими», були спрямовані на збір розвідданих і виявлені в різних організаціях США. опублікував дорадчу на Reddit.

Розробка сценарію атаки для хмарної передачі файлів

Сценарій атаки розвивається: нове дослідження Tenable, опубліковане 23 квітня, ідентифікує понад 7,100 серверів CrushFTP. публічно доступний «на основі запиту Shodan у шаблоні Nuclei, створеному h4sh», згідно зі звітом. Однак «незрозуміло, скільки з цих систем є потенційно вразливими», – зазначив у дописі Сатнам Наранг, старший інженер-дослідник Tenable.

Враховуючи це, атаки, ймовірно, продовжаться на невиправлені сервери експлойт для підтвердження концепції (PoC). для недоліку тепер загальнодоступний, опублікований 23 квітня на GitHub дослідником, який виявив недолік і повідомив про нього CrushFTP, Саймоном Гаррелу з групи реагування на надзвичайні ситуації Airbus Community (CERT), додав Наранг.

Інші зловмисники також прагнуть отримати вигоду від усієї уваги до недоліку, націлюючись на користувачів із підробленими PoC, написав Наранг, зазначивши, що на GitHub уже є репозиторій, який спрямовує користувачів на сторонній сайт SatoshiDisk, який запитує платіж у розмірі 0.00735 біткойна (близько 513 доларів США) за ймовірний експлойт.

«Малоймовірно, що код експлойта спрацює, і ми не очікуємо, що він буде шкідливим за своєю природою», — написав Наранг. «Натомість більш імовірно, що зловмисники прагнуть заробити на інтересах до коду експлойту для цієї вразливості».

CVE-2024-4040: потенціал для RCE

Уразливість, описана постачальником, є довільною помилкою читання, яка дозволяє зловмиснику з низькими правами вийти з сервера віртуальна файлова система (VFS) пісочниця для доступу та завантаження системних файлів.

Однак є докази того, що це більше недолік, ніж повідомлялося досі, зазначили дослідники Rapid7 у дописі в блозі, опублікованому 23 квітня.

«Хоча уразливість офіційно описана як довільне читання файлу, Rapid7 вважає, що її можна точніше класифікувати як ін’єкцію шаблону на стороні сервера (SSTI)», — написала в дописі Кейтлін Кондон, директор відділу аналізу вразливостей Rapid7.

CVE-2024-4040 є «повністю неавтентифікованим недоліком», яким легко скористатися; успішна експлуатація Вона зауважила, що дозволяє не лише читати довільний файл як root, але й обходити автентифікацію для доступу до облікового запису адміністратора та повного віддаленого виконання коду (RCE).

«Успішна експлуатація дозволяє віддаленому неавтентифікованому зловмиснику отримати доступ і потенційно викрасти всі файли, що зберігаються в примірнику CrushFTP», — написав Кондон.

Код експлойту доступний

Експлойт PoC, опублікований Garrelou, включає два сценарії. Перший, scan_host.py, намагається використовувати вразливість для читання файлів поза пісочницею, згідно з публікацією GitHub.

«Якщо це вдасться, сценарій пише Vulnerable для стандартного виводу та повертається з кодом виходу 1», — каже Гаррелу. «Якщо використання вразливості не вдається, сценарій пише Not vulnerable і завершує роботу з кодом статусу 0».

Другий сценарій, scan_logs.py, шукає індикатори компрометації в каталозі установки сервера CrushFTP і, знайшовши їх, спробує витягнути IP-адресу, яка намагалася використати сервер.

Виправте зараз для повного захисту

Найкращий спосіб пом’якшити ситуацію для організацій, у яких є CrushFTP, — це зараз оновити свої системи до виправленої версії продукту, як компанія, так і дослідники безпеки.

Клієнти, які використовують інтерфейс сервер демілітаризованої зони (DMZ). За словами CrushFTP, для обробки протоколів і з’єднань перед основним екземпляром CrushFTP надається частковий захист від експлойтів завдяки системі перекладу протоколів, яка використовується в DMZ.

«Однак DMZ не повністю захищає вас, і ви повинні негайно оновити», — порадила компанія клієнтам у своїй консультації. Одним із факторів, який ускладнює виявлення організацією використання CVE-2024-4040, є те, що корисні навантаження «можуть доставлятися в багатьох різних формах», зазначив Кондон з Rapid7.

«Коли використовуються певні методи обходу, корисне навантаження буде видалено з журналів та історії запитів, а зловмисні запити буде важко відрізнити від законного трафіку», — написала вона.

З цієї причини Rapid7 рекомендує клієнтам CrushFTP захистити свої сервери від атак RCE на рівні адміністратора, увімкнувши обмежений режим сервера з максимально обмеженою конфігурацією. Кондон додав, що вони також повинні використовувати брандмауери, де це можливо, щоб агресивно обмежувати, яким IP-адресам дозволено доступ до служб CrushFTP.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cloud-security/patch-crushftp-zero-day-cloud-exploit-targets-us-orgs