Resumen de buceo:
- SmashFTP Revelado y corregido El viernes se explotó activamente una vulnerabilidad de día cero que afecta a un servicio de transferencia de archivos ampliamente utilizado.
- «Aún no tenemos conocimiento de ningún robo de datos real, pero hemos visto a piratas informáticos descargar archivos de configuración de usuario, proteger claves privadas y exponer archivos de contraseña», dijo el martes Ben Spink, director ejecutivo de CrushFTP, por correo electrónico. Spink dijo que los atacantes parecen estar escaneando a gran escala, apuntando indiscriminadamente a clientes CrushFTP. «No tenemos conocimiento de nada más dirigido».
- Mientras que CrushFTP dijo vulnerabilidad de inyección de plantilla del lado del servidor CVE-2024-4040 Requiere Algún nivel de autenticación,Los investigadores de Rapid7 están decididos a que los atacantes puedan explotar y Hackear completamente los servidores CrushFTP Sin privilegios. La vulnerabilidad crítica tiene un CVSS de 9,8.
Buceo perspicaz:
se repite Exploits de día cero dirigidos a servicios de transferencia de archivosque contienen datos confidenciales, respalda las preocupaciones de los clientes de CrushFTP.
Los investigadores esperan que la explotación aumente rápidamente y están dando la alarma sobre los posibles impactos en los clientes desprevenidos de CrushFTP.
“La última vulnerabilidad de día cero, al igual que Transmisión o Ir a cualquier lugar MFT «Antes, proporciona a los adversarios un método de ataque de aplastamiento que permite la toma completa de un servidor CrushFTP y permite la exfiltración de datos confidenciales», dijo el martes por correo electrónico Caitlin Condon, directora de investigación de vulnerabilidades de Rapid7.
Los atacantes explotaron vulnerabilidades críticas de día cero en múltiples servicios de transferencia de archivos para robar datos y chantajear a las organizaciones víctimas para pedir un rescate.
«La vulnerabilidad se puede explotar fácilmente ejecutando solicitudes HTTPS no autenticadas a la interfaz web de CrushFTP, lo que da como resultado que un archivo arbitrario se lea como root, evitando la autenticación para acceder a la cuenta de administrador y potencialmente robando todos los archivos almacenados en la instancia», dijo Condon.
CrowdStrike, en un Publicación del viernes en RedditDijo que había «observado que este exploit se utilizaba en la naturaleza de manera selectiva». La compañía se negó a hacer más comentarios.
El análisis de Shodan muestra aprox. 7300 CrushServidor FTP Abiertamente expuesto y potencialmente vulnerable.
Spink dijo que CrushFTP no sabe cuántos clientes siguen usando versiones sin parches, pero señaló que la compañía tiene «varios miles de clientes en todo el mundo en cada segmento del mercado».
CrushFTP se enteró por primera vez de la vulnerabilidad el viernes y le dio crédito a Simon Jarillo, un ingeniero de seguridad de Airbus CERT, por descubrir e informar sobre la vulnerabilidad, que fue parcheada en las versiones 10.7.1 y 11.1.0.
Spink dijo que de los cinco servidores administrados por la empresa que CrushFTP examinó el lunes, tres tenían evidencia de intentos de explotación, pero la empresa ya los había parcheado y no se vieron afectados.
«Adicto a la música. Gurú del café. Especialista en zombis. Defensor de las redes sociales. Introvertido. Aficionado extremo a la comida. Evangelista del alcohol».