Zero-day-exploits hebben CrushFTP getroffen en onderzoekers verwachten een snelle exploit

Duik kort:

• SmashFTP Geopenbaard en gecorrigeerd Een zero-day-kwetsbaarheid die een veelgebruikte dienst voor bestandsoverdracht trof, werd vrijdag actief misbruikt.
• “We zijn ons nog niet bewust van daadwerkelijke gegevensdiefstal, maar we hebben gezien dat hackers gebruikersconfiguratiebestanden downloaden, privésleutels beveiligen en passwd-bestanden vrijgeven”, zei Ben Spink, CEO van CrushFTP, dinsdag via e-mail. Spink zei dat de aanvallers op grote schaal lijken te scannen en zich zonder onderscheid op CrushFTP-clients richten. “We hebben geen kennis van iets dat gerichter is.”
• Terwijl CrushFTP zei dat er sprake is van een kwetsbaarheid voor template-injectie op de server CVE-2024-4040 Vereist Een bepaald niveau van authenticatieOnderzoekers van Rapid7 zijn ervan overtuigd dat aanvallers misbruik kunnen maken van en Hack CrushFTP-servers volledig Zonder privileges. De kritieke kwetsbaarheid heeft een CVSS van 9,8.

Inzichtduiken:

Het wordt herhaald Zero-day-exploits gericht op bestandsoverdrachtdienstendie gevoelige gegevens bevatten, ondersteunt de zorgen van CrushFTP-klanten.

Onderzoekers verwachten dat de uitbuiting snel zal toenemen en luiden de alarmbel over de mogelijke gevolgen voor nietsvermoedende CrushFTP-klanten.

“De nieuwste zero-day-kwetsbaarheid, net als Overdragen of GoAnywhereMFT “Voorheen bood het tegenstanders een smash-and-grab-aanvalsmethode die een volledige overname van een CrushFTP-server mogelijk maakt en het mogelijk maakt gevoelige gegevens te exfiltreren”, zei Caitlin Condon, directeur kwetsbaarheidsonderzoek bij Rapid7, dinsdag via e-mail.

Aanvallers maakten misbruik van kritieke zero-day-kwetsbaarheden in verschillende diensten voor bestandsoverdracht om gegevens te stelen en slachtofferorganisaties te chanteren voor losgeld.

“De kwetsbaarheid kan eenvoudig worden misbruikt door niet-geverifieerde HTTPS-verzoeken uit te voeren naar de CrushFTP-webinterface, wat ertoe leidt dat een willekeurig bestand als root wordt gelezen, de authenticatie wordt omzeild om toegang te krijgen tot het beheerdersaccount en mogelijk alle bestanden worden gestolen die op de instantie zijn opgeslagen”, aldus Condon.

CrowdStrike, in een Vrijdagpost op RedditZe zei dat ze “had gezien dat deze exploit op een gerichte manier in het wild werd gebruikt.” Het bedrijf weigerde verder commentaar te geven.

Uit de analyse van Shodan blijkt dat ca 7300 CrushFTP-server Openlijk blootgesteld en potentieel kwetsbaar.

Spink zei dat CrushFTP niet weet hoeveel klanten nog steeds ongepatchte versies gebruiken, maar merkte op dat het bedrijf “enkele duizenden klanten over de hele wereld in elk marktsegment” heeft.

CrushFTP werd vrijdag voor het eerst op de hoogte gebracht van de kwetsbaarheid en gaf Simon Jarillo, een beveiligingsingenieur bij Airbus CERT, de eer om de kwetsbaarheid te ontdekken en te rapporteren, die was gepatcht in versies 10.7.1 en 11.1.0.

Spink zei dat van de vijf door het bedrijf beheerde servers die CrushFTP maandag onderzocht, er drie bewijs hadden van exploitpogingen, maar dat het bedrijf deze al had gepatcht en er geen gevolgen van ondervonden.