Περισσότεροι από 1.400 CrushFTP servers που εκτέθηκαν στο διαδίκτυο, βρέθηκαν ευάλωτοι σε επιθέσεις που επί του παρόντος στοχεύουν μια ευπάθεια κρίσιμης σοβαρότητας από πλευράς διακομιστή (SSTI), που προηγουμένως εκμεταλλευόταν ως zero-day.
Δείτε επίσης: CrushFTP: Ζητά άμεση επιδιόρθωση του zero-day
Ενώ το CrushFTP περιγράφει το CVE-2024-4040 ως VFS sandbox escape στο λογισμικό διαχειριζόμενης μεταφοράς αρχείων, που επιτρέπει την αυθαίρετη ανάγνωση αρχείων, οι εισβολείς χωρίς έλεγχο ταυτότητας μπορούν να το χρησιμοποιήσουν για να εκτελέσουν απομακρυσμένη εκτέλεση κώδικα (RCE) σε μη ενημερωμένα συστήματα.
Η εταιρεία προειδοποίησε τους πελάτες την Παρασκευή να «ενημερώσουν αμέσως» για να μπλοκάρουν τις προσπάθειες των εισβολέων να διαφύγουν από το εικονικό σύστημα αρχείων (VFS) του χρήστη και να κατεβάσουν αρχεία συστήματος. Την Τρίτη, η ερευνητική ομάδα ευπάθειας της Rapid7 επιβεβαίωσε τη σοβαρότητα του ελαττώματος ασφαλείας, λέγοντας ότι ήταν “εντελώς μη επαληθευμένο και ενεργά εκμεταλλεύσιμο“.
“Η επιτυχής εκμετάλλευση επιτρέπει όχι μόνο αυθαίρετο αρχείο που διαβάζεται ως root, αλλά και παράκαμψη ελέγχου ταυτότητας για πρόσβαση στον λογαριασμό διαχειριστή και πλήρη απομακρυσμένη εκτέλεση κώδικα“, εξήγησε το Rapid7.
Ερευνητές ασφαλείας από την πλατφόρμα παρακολούθησης απειλών Shadowserver ανακάλυψαν 1.401 μη επιδιορθωμένους CrushFTP servers που έμειναν εκτεθειμένοι στο διαδίκτυο, οι περισσότεροι από αυτούς στις Ηνωμένες Πολιτείες (725), τη Γερμανία (115) και τον Καναδά (108).
Η Shodan παρακολουθεί επίσης επί του παρόντος 5.232 CrushFTP servers που είναι εκτεθειμένοι στο Διαδίκτυο, αν και δεν παρέχει καμία πληροφορία για το πόσοι από αυτούς ενδέχεται να είναι ευάλωτοι σε επιθέσεις.
Δείτε ακόμα: CrushFTP RCE chain: Κυκλοφόρησε εκμετάλλευση, ενημερώστε τώρα
Η εταιρεία κυβερνοασφάλειας CrowdStrike δημοσίευσε μια αναφορά πληροφοριών την Παρασκευή, αφού η CrushFTP αποκάλυψε τα ενεργά εκμεταλλευόμενα zero-days και κυκλοφόρησε ενημερώσεις κώδικα, αποκαλύπτοντας ότι οι επιτιθέμενοι στόχευαν διακομιστές CrushFTP σε πολλούς οργανισμούς των ΗΠΑ σε κάτι που έμοιαζε με μια εκστρατεία συλλογής πληροφοριών με πολιτικά κίνητρα.
Σύμφωνα με στοιχεία που βρέθηκαν από τις ομάδες Falcon OverWatch και Falcon Intelligence στο CrowdStrike, το CrushFTP zero-day χρησιμοποιούνταν σε στοχευμένες επιθέσεις.
Συνιστάται στους χρήστες του CrushFTP να ελέγχουν τακτικά τον ιστότοπο του προμηθευτή για τις πιο πρόσφατες οδηγίες και να δίνουν προτεραιότητα στις ενημερώσεις κώδικα, για να προστατευτούν από συνεχείς προσπάθειες εκμετάλλευσης.
Η CISA πρόσθεσε επίσης το CVE-2024-4040 στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών της την Τετάρτη, διατάζοντας ότι οι ομοσπονδιακές υπηρεσίες των ΗΠΑ θα πρέπει να ασφαλίσουν τους ευάλωτους διακομιστές τους εντός μιας εβδομάδας, έως την 1η Μαΐου.
Τον Νοέμβριο, οι πελάτες του CrushFTP προειδοποιήθηκαν επίσης να επιδιορθώσουν μια κρίσιμη ευπάθεια RCE (CVE-2023-43177) αφού οι ερευνητές ασφαλείας του Converge που ανακάλυψαν και ανέφεραν το ελάττωμα δημοσίευσαν ένα proof-of-concept exploit.
Δείτε επίσης: Google: Διόρθωσε δύο zero-day ευπάθειες στο Chrome
Ποιες είναι οι τεχνικές αντιμετώπισης των Zero-Days;
Οι τεχνικές αντιμετώπισης των Zero-Days, όπως η ευπάθεια στους CrushFTP servers, είναι πολλές και ποικίλες. Αρχικά, είναι σημαντικό να διατηρείται ενημερωμένο το λογισμικό του συστήματος. Αυτό σημαίνει ότι θα πρέπει να εγκαθίστανται όλες οι διαθέσιμες ενημερώσεις και patches που παρέχονται από τους κατασκευαστές του λογισμικού. Επιπλέον, η χρήση εργαλείων ανίχνευσης εισβολών (IDS) και συστημάτων πρόληψης εισβολών (IPS) μπορεί να βοηθήσει στην αναγνώριση και την αντιμετώπιση των απειλών Zero-Day. Αυτά τα συστήματα μπορούν να ανιχνεύσουν ανώμαλη συμπεριφορά ή δραστηριότητα που μπορεί να υποδεικνύει μια πιθανή επίθεση. Η χρήση λογισμικού antivirus και είναι επίσης ζωτικής σημασίας. Αυτά τα εργαλεία μπορούν να ανιχνεύσουν και να απομακρύνουν κακόβουλο λογισμικό που μπορεί να έχει εκμεταλλευτεί μια αδυναμία Zero-Day. Τέλος, η εκπαίδευση των χρηστών σχετικά με την ασφάλεια των πληροφοριών μπορεί να είναι εξαιρετικά χρήσιμη. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing, και πώς να τις αναγνωρίσουν και να τις αποφύγουν.
Πηγή: bleepingcomputer
