Crowdstrike’a göre kurumsal dosya aktarım çözümü CrushFTP’deki bir güvenlik açığı (CVE-2024-4040) saldırganlar tarafından hedefli bir şekilde kullanılıyor.
Güvenlik açığı, saldırganların sanal dosya sistemlerinden kaçmasına ve sistem dosyalarını (örn. yapılandırma dosyaları) indirmesine olanak tanır, ancak bu yalnızca çözümün Web Arayüzünün internette açık olması durumunda mümkündür.
Censys’e göre, çoğunluğu Kuzey Amerika ve Avrupa’da olmak üzere şu anda 9.600’den fazla kamuya açık CrushFTP ana bilgisayarı (sanal ve fiziksel) bulunmaktadır.
CVE-2024-4040 Hakkında
CrushFTP, 19 Nisan Cuma günü müşterilere CVE-2024-4040 ile ilgili bildirimler gönderdi.
“Bu güvenlik açığının özü, kimliği doğrulanmamış veya kimliği doğrulanmış herhangi bir kullanıcının, WebInterface aracılığıyla, VFS’lerinin parçası olmayan sistem dosyalarını alabilmesidir. Bu, daha fazla bilgi edindikçe gerilimin tırmanmasına yol açabilir,” dedi şirket.
Airbus CERT’te güvenlik mühendisi olan Simon Garrelou tarafından keşfedilen güvenlik açığı, CrushFTP v11 ve v10’u etkiliyor ve v11.1.0 ve v10.7.1’de yamalandı. Hala CrushFTP v9’u çalıştıran müşteriler v11.1.0 sürümüne yükseltme yapmalıdır.
Ana CrushFTP bulut sunucusunun önünde DMZ kullanan müşteriler yalnızca kısmen korunur. Herkesin ana bilgisayarları derhal yükseltmesi tavsiye edilir.
Şirkete göre, bu istismarın internete bakan bir CrushFTP sunucusuna karşı kullanılıp kullanılmadığını kontrol etmenin kesin bir yolu yok.
“Bunun doğası zaten günlüğünüzde bulunabilecek yaygın kelimelerdi. Dolayısıyla kontrol edilecek sihirli bir arama terimi yok” dediler.
Hedefler
CrushFTP sunucularına yönelik bu saldırılar keşif çalışmaları gibi görünüyor. Crowdstrike, birden fazla ABD kuruluşunun araştırıldığını ve bu istihbarat toplama faaliyetinin siyasi amaçlı olabileceğini söyledi.
Ancak kurumsal düzeyde dosya aktarım çözümlerinde sıfır gün uygulaması, son zamanlarda fidye yazılımı kullanan saldırganlar arasında da popüler hale geldi.