Sanal dosya aktarım sistemi sağlayıcısı CrushFTP ve çeşitli güvenlik araştırmacıları, bir sorunla ilgili alarm veriyor sanal alandan kaçış Saldırganların halihazırda ABD’deki kuruluşlara yönelik saldırılarda sıfır gün olarak kullandığı CrushFTP sunucusundaki kusur.
CrushFTP, çok protokollü, çok platformlu, bulut tabanlı bir dosya aktarım sunucusudur. Şu şekilde izlenen güvenlik açığı: CVE-2024-4040CrushFTP dosya aktarım sunucusunun 11.1 sürümündeki uygunsuz bir giriş doğrulama hatasıdır. Şirket açıklandı ve kusuru yamaladı 19 Nisan’da ürünün 11.1.0 sürümünün yayınlanmasıyla; ancak tehdit aktörlerinin mevcut bir istismarla açığı kapattığı yönünde çeşitli raporlar zaten mevcuttu.
Crowdstrike’ın tehdit avcıları Falcon OverWatch ve Falcon Intelligence’a göre, potansiyel olarak “siyasi amaçlı” olan bu saldırılar, doğası gereği istihbarat toplama amaçlıydı ve çeşitli ABD birimlerini tespit ediyordu. bir tavsiye yayınladı Reddit’te.
Bulut Dosya Aktarımı için Gelişen Bir Saldırı Senaryosu
Saldırı senaryosu gelişiyor ve Tenable tarafından 23 Nisan’da yayınlanan ve 7.100’den fazla CrushFTP sunucusunu tanımlayan yeni araştırmayla birlikte kamuya açık Rapora göre “h4sh tarafından oluşturulan bir Nuclei şablonundaki Shodan sorgusuna dayanıyor”. Ancak Tenable kıdemli araştırma mühendisi Satnam Narang, gönderisinde “Bu sistemlerden kaçının potansiyel olarak savunmasız olduğu belirsiz” dedi.
Şu koşullar göz önüne alındığında, yama uygulanmamış sunucularda saldırıların devam etmesi muhtemeldir kavram kanıtından (PoC) yararlanma Narang, Airbus Topluluğu Acil Durum Müdahale Ekibi’nden (CERT) Simon Garrelou, kusurun artık kamuya açık olduğunu ve açığı CrushFTP’ye bildiren araştırmacı tarafından 23 Nisan’da GitHub’da yayınlandığını ekledi.
Narang, diğer saldırganların da kullanıcıları sahte PoC’lerle hedef alarak kusurdaki tüm dikkatlerden yararlanmayı amaçladığını yazdı ve GitHub’da kullanıcıları SatoshiDisk adlı üçüncü taraf bir siteye yönlendiren ve ödeme talep eden bir veri havuzunun zaten bulunduğunu belirtti. İddia edilen bir istismar için 0,00735 bitcoin (yaklaşık 513 $).
Narang, “Bu istismar kodunun işe yaraması pek olası değil ve doğası gereği kötü amaçlı olmasını beklemiyoruz” diye yazdı. “Bunun yerine, saldırganların bu güvenlik açığına yönelik yararlanma koduna olan ilgiden para kazanmaya çalışması daha muhtemel.”
CVE-2024-4040: RCE Potansiyeli
Satıcı tarafından açıklanan güvenlik açığı, düşük ayrıcalıklara sahip bir saldırganın sunucunun güvenlik açıklarından kaçmasına olanak tanıyan rastgele bir okuma kusurudur. sanal dosya sistemi (VFS) Sistem dosyalarına erişmek ve indirmek için sanal alan.
Ancak Rapid7 araştırmacıları 23 Nisan’da yayınlanan bir blog yazısında, bunun şu ana kadar bildirilenden daha kusurlu olduğuna dair kanıtlar bulunduğunu belirtti.
Rapid7’nin güvenlik açığı istihbaratı direktörü Caitlin Condon, gönderisinde şöyle yazdı: “Güvenlik açığı resmi olarak rastgele bir dosya okuması olarak tanımlanmış olsa da, Rapid7 bunun sunucu tarafı şablon enjeksiyonu (SSTI) olarak daha doğru bir şekilde sınıflandırılabileceğine inanıyor.”
CVE-2024-4040 “kimliği doğrulanmamış bir kusurdur” ve istismar edilmesi kolaydır; başarılı sömürü Yalnızca veya rastgele dosyanın kök olarak okunmasına izin vermekle kalmayıp, aynı zamanda yönetici hesabı erişimi ve tam uzaktan kod yürütme (RCE) için kimlik doğrulamanın atlanmasına da izin verdiğini gözlemledi.
Condon, “Başarılı bir şekilde yararlanma, uzak, kimliği doğrulanmamış bir saldırganın CrushFTP örneğinde depolanan tüm dosyalara erişmesine ve potansiyel olarak bunları dışarı çıkarmasına olanak tanır” diye yazdı.
Kullanım Kodu Mevcut
Garrelou tarafından yayınlanan PoC istismarı iki komut dosyası içeriyor. GitHub gönderisine göre, ilki olan scan_host.py, sanal alan dışındaki dosyaları okumak için güvenlik açığını kullanmaya çalışıyor.
Garrelou’ya göre “Başarılı olursa, komut dosyası standart çıktıya Savunmasız yazar ve çıkış kodu 1 ile geri döner.” “Güvenlik açığından yararlanma başarısız olursa, komut dosyası Güvenlik açığı yok yazar ve 0 durum koduyla çıkar.”
İkinci komut dosyası, scan_logs.py, CrushFTP sunucusu kurulum dizinindeki tehlike göstergelerini arar ve bunları bulduktan sonra, sunucudan yararlanmaya çalışan IP’yi çıkarmaya çalışacaktır.
Tam Koruma İçin Şimdi Yama Yapın
Şirket ve güvenlik araştırmacıları, çevrelerinde CrushFTP bulunan kuruluşların durumu hafifletmenin en iyi yolunun, sistemlerini ürünün yamalı sürümüne güncellemelerini tavsiye etti.
Ön uç kullanan müşteriler askerden arındırılmış bölge (DMZ) sunucusu CrushFTP’ye göre, ana CrushFTP örneğinin önünde protokolleri ve bağlantıları işlemek için kullanılan cihazlar, DMZ’de kullanılan protokol çeviri sistemi nedeniyle istismara karşı kısmi koruma sağlıyor.
Şirket, tavsiye niteliğindeki tavsiyesinde müşterilere “Ancak DMZ sizi tam olarak korumaz ve hemen güncellemelisiniz” dedi. Rapid7’den Condon, bir kuruluşun CVE-2024-4040 istismarının tespitini zorlaştıran faktörlerden birinin, yüklerin “birçok farklı biçimde teslim edilebilmesi” olduğunu belirtti.
“Belirli kaçınma teknikleri kullanıldığında, veriler günlüklerden ve istek geçmişinden çıkarılacak ve kötü niyetli isteklerin meşru trafikten ayırt edilmesi zor olacaktır” diye yazdı.
Bu nedenle Rapid7, CrushFTP müşterilerinin mümkün olan en kısıtlayıcı yapılandırmayla Sınırlı Sunucu modunu etkinleştirerek sunucularını yönetici düzeyindeki RCE saldırılarına karşı güçlendirmelerini önerir. Condon, CrushFTP hizmetlerine erişmesine izin verilen IP adreslerini agresif bir şekilde kısıtlamak için mümkün olan her yerde güvenlik duvarları kullanmaları gerektiğini de ekledi.