Dalış Özeti:
- CrushFTP açıklandı ve yamalı Cuma günü yaygın olarak kullanılan dosya aktarım hizmetini etkileyen, aktif olarak yararlanılan bir sıfır gün güvenlik açığı.
- CrushFTP CEO’su Ben Spink Salı günü e-posta yoluyla şunları söyledi: “Henüz gerçek bir veri hırsızlığının farkında değiliz, ancak bilgisayar korsanlarının kullanıcı yapılandırma dosyalarını indirdiğini, kabuk özel anahtarlarını güvence altına aldığını ve parola dosyalarını gösterdiğini gördük.” Spink, saldırganların geniş bir tarama yaparak CrushFTP müşterilerini rastgele hedef aldığını söyledi. “Daha yönlendirilmiş bir şey hakkında hiçbir bilgimiz yok.”
- CrushFTP, sunucu tarafı şablon enjeksiyon güvenlik açığını söylerken CVE-2024-4040 gereklilikler bir düzeyde kimlik doğrulamaRapid7’deki araştırmacılar, saldırganların istismar edebileceğini ve CrushFTP sunucularının tamamen tehlikeye atılması ayrıcalıklar olmadan. Kritik güvenlik açığının CVSS’si 9,8’dir.
Dalış Bilgisi:
Tekrarlanan Dosya aktarım hizmetlerini hedef alan sıfır gün açıklarıHassas verileri barındıran CrushFTP müşterileri için endişelerin temelini oluşturuyor.
Araştırmacılar istismarın hızlı bir şekilde artmasını bekliyor ve şüphelenmeyen CrushFTP müşterileri üzerindeki potansiyel etkiler konusunda alarm veriyor.
“Bu son sıfır gün güvenlik açığı, tıpkı MOVEit Aktarımı veya Her Yere Gidin MFT Rapid7’nin güvenlik açığı araştırması direktörü Caitlin Condon Salı günü e-posta yoluyla şunları söyledi: “Daha önce, rakiplere CrushFTP sunucusunun tamamen ele geçirilmesini sağlayan ve hassas verilerin sızmasına olanak tanıyan bir parçala-yakala saldırı vektörü sunuyor.”
Saldırganlar, verileri çalmak ve mağdur kuruluşlardan fidye almak için birden fazla dosya aktarım hizmetindeki kritik sıfır gün güvenlik açıklarından yararlandı.
Condon, “Güvenlik açığından, CrushFTP web arayüzüne kimliği doğrulanmamış HTTPS istekleri gerçekleştirerek kolayca yararlanılabilir; bu da dosyaların kök olarak okunmasına, yönetici hesabı erişimi için kimlik doğrulamanın atlanmasına ve örnekte depolanan tüm dosyaların potansiyel olarak çalınmasına neden olur” dedi.
CrowdStrike, Reddit’te cuma yazısı, “bu istismarın vahşi doğada hedefli bir şekilde kullanıldığını gözlemlediğini” söyledi. Şirket daha fazla yorum yapmaktan kaçındı.
Shodan analizi neredeyse gösteriyor 7.300 CrushFTP sunucusu kamuya açıktır ve potansiyel olarak savunmasızdır.
Spink, CrushFTP’nin hala kaç müşterinin yamasız sürümleri kullandığını bilmediğini söyledi ancak şirketin “dünya çapında her pazar segmentinde binlerce müşterisi” olduğunu belirtti.
CrushFTP, güvenlik açığından ilk olarak Cuma günü haberdar edildi ve Airbus CERT güvenlik mühendisi Simon Garrelou’ya, 10.7.1 ve 11.1.0 sürümlerinde yamalı olan güvenlik açığını keşfetmesi ve raporlaması için teşekkür edildi.
Spink, CrushFTP’nin Pazartesi günü incelediği, şirket tarafından işletilen beş sunucudan üçünün açıklardan yararlanma girişimlerine dair kanıtlar taşıdığını ancak şirketin zaten yama uyguladığını ve etkilenmediğini söyledi.