CrushFTP, 10.7.1 ve 11.1.0’ın altındaki sürümleri etkileyen sıfır gün güvenlik açığını (CVE-2024-4040) açıkladı. Güvenlik açığı, düşük ayrıcalıklara sahip uzak saldırganların VFS sanal alanını atlamasına ve temeldeki dosya sistemindeki rastgele dosyaları okumasına olanak tanıyor.
Sunucu tarafı şablon enjeksiyonu (SSTI) saldırıları için kullanılabilir, saldırganlara ele geçirilen CrushFTP sunucusu üzerinde tam kontrol sağlar ve uzaktaki saldırganların kimlik doğrulamasını atlamasına, kök ayrıcalıklarıyla rastgele dosyaları okumasına ve sunucuda kod yürütmesine olanak tanır.
Güvenlik açığı özellikle tehlikelidir çünkü kimlik doğrulama gerektirmez ve genel kullanıma açık bir yararlanma kodu mevcuttur.
Saldırganlar veri çalmak, kötü amaçlı yazılım yüklemek veya CrushFTP sunucusunu tamamen tehlikeye atmak için bu güvenlik açığından yararlanabilir.
CVE-2024-4040, kimliği doğrulanmamış saldırganların Sanal Dosya Sistemi (VFS) sanal alanı dışındaki rastgele dosyaları okumasına olanak tanır.
Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın
CrushFTP Sıfır Gün Tam Sunucu Erişimi
Bu güvenlik açığı, bir yama yayınlanmadan önce yaygın olarak kullanıldı ve yaklaşık 5.200 CrushFTP sunucusu, halka açık İnternet’e açık oldukları için saldırıya açık durumda.
Bu güvenlik açığının başka bir sonucu da, kimliği doğrulanmamış saldırganların belirlenen dosya sistemi sanal alanının dışında bulunan dosyaları okumasına olanak sağlamasıdır; bu da ayrıcalık artışına ve uzaktan kod yürütülmesine neden olabilir.
CVE-2024-4040’ı etkin bir şekilde ele aldığı doğrulanan güvenlik açığını azaltmak için CrushFTP 11.1.0 veya 10.7.1’e (sürüm serisine bağlı olarak) yükseltme yapılması gerekir.
Kritik bir CrushFTP güvenlik açığı (CVE-2024-4040), düşük ayrıcalıklara sahip saldırganların VFS sanal alanından kaçmasına ve CrushFTP’nin yamalı sürümlere (sürüm 10, 11.1.0 veya daha yenisi için 10.7.1 veya üstü) acil bir güncelleme önerdiğinden potansiyel olarak tam sistem güvenliğinin ele geçirilmesine olanak tanır. daha sonra sürüm 11 için).
Satıcı tarafından DMZ kısmen koruyucu olarak görülse de Rapid7, sorunun ciddiyeti ve DMZ’nin etkinliği konusundaki belirsizlik nedeniyle yamanın hemen uygulanmasını öneriyor.
CVE-2024-4040’a yönelik açıkları bulmak zordur çünkü veriler çok farklı olabilir ve saldırganlar, kötü amaçlı içeriği günlüklerden gizlemek için kaçırma tekniklerini kullanabilir, bu da onları normal trafikten ayırmayı zorlaştırır.
Saldırganlar, ters proxy mevcut olsa bile tespit edilmeyi atlatabilirler.
Ayrıca 23 Nisan 2024’te, CrushFTP’deki sunucu tarafı şablon ekleme güvenlik açığı olan CVE-2024-4040’ı gidermek için bir algılama güncellemesi kullanıma sunuldu.
Güncelleme, satıcının güvenlik açığını nasıl başarıyla düzelttiğine ilişkin bilgileri, InsightIDR ve Rapid7 MDR için algılama kurallarını ve InsightVM ve Nexpose ortamlarındaki güvenlik açığı bulunan CrushFTP kurulumlarını bulmaya yönelik araçları içerir.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.