CrushFTP, bugün yayınlanan yeni sürümlerde aktif olarak yararlanılan sıfır gün güvenlik açığının düzeltildiği özel bir notla müşterilerini uyardı ve sunucularına derhal yama yapmalarını istedi.
Şirketin Cuma günü yayınlanan bir kamu güvenliği danışma belgesinde de açıkladığı gibi, bu sıfır gün hatası, kimliği doğrulanmamış saldırganların kullanıcının sanal dosya sisteminden (VFS) kaçmasına ve sistem dosyalarını indirmesine olanak tanıyor.
Ancak ana CrushFTP bulut sunucusunun önünde DMZ (silahtan arındırılmış bölge) çevre ağı kullananlar saldırılara karşı korunur.
“Lütfen en kısa sürede düzeltme eki uygulamak için hemen harekete geçin. Bugün (19 Nisan 2024) bir güvenlik açığı bildirildi ve biz de hemen düzeltme ekini uyguladık. [..] Bu güvenlik açığı vahşi doğada mevcuttur.” Şirket, müşterileri e-posta yoluyla uyardı.
“Bu güvenlik açığının özü, kimliği doğrulanmamış veya kimliği doğrulanmış herhangi bir kullanıcının, WebInterface aracılığıyla, VFS’lerinin parçası olmayan sistem dosyalarını alabilmesidir. Bu, daha fazla bilgi edindikçe olayın tırmanmasına yol açabilir, vb.”
Şirket ayrıca sunucuları hâlâ CrushFTP v9 çalıştıran müşterileri, derhal v11’e yükseltmeleri veya kontrol panelinden örneklerini güncellemeleri konusunda uyardı.
CrushFTP, “Bazı işlevlerde sorun veya gerileme yaşamanız durumunda basit bir geri alma işlemi mevcuttur. Hemen güncelleyin,” diye uyardı.
Güvenlik açığı Airbus CERT’ten Simon Garrelou tarafından bildirildi ve şu anda CrushFTP 10.7.1 ve 11.1.0 sürümlerinde düzeltildi.
Shodan’a göre en az 2.700 CrushFTP örneğinin web arayüzü çevrimiçi saldırılara maruz kalıyor, ancak kaçının henüz yamalanmadığını belirlemek imkansız.
Hedefli saldırılarda istismar edildi
Siber güvenlik şirketi CrowdStrike da saldırganların taktikleri, teknikleri ve hedefleri (TTP’ler) hakkında daha fazla bilgi içeren bir istihbarat raporunda (henüz bir CVE kimliği atanmamış) güvenlik açığını doğruladı.
CrowdStrike, Falcon OverWatch ve Falcon Intelligence ekiplerinin, CrushFTP sıfır günlerinin hedefli saldırılarda istismar edildiğini gördüğünü söylüyor.
Tehdit aktörleri birden fazla ABD kuruluşunun CrushFTP sunucularını hedef alıyor ve kanıtlar, muhtemelen siyasi amaçlı bir istihbarat toplama kampanyasına işaret ediyor.
CrowdStrike, “Falcon OverWatch ve Falcon Intelligence, bu istismarın vahşi doğada hedefli bir şekilde kullanıldığını gözlemledi” diyor.
“CrushFTP kullanıcıları en güncel talimatlar için satıcının web sitesini takip etmeye devam etmeli ve yama uygulamasına öncelik vermelidir.”
Kasım ayında CrushFTP müşterileri, kusuru bildiren Converge güvenlik araştırmacılarının aynı zamanda bir kavram kanıtı istismarı yayınlamasının ardından kritik bir uzaktan kod yürütme güvenlik açığını (CVE-2023-43177) düzeltmeleri konusunda da uyarılmıştı.