Mais de 1.400 servidores CrushFTP expostos online foram encontrados vulneráveis a ataques que atualmente visam uma vulnerabilidade crítica de injeção de template do lado do servidor (SSTI), previamente explorada como um "zero-day".
Enquanto a CrushFTP descreve o
CVE-2024-4040
como uma fuga de sandbox VFS em seu software de transferência de arquivos gerenciado que permite a leitura arbitrária de arquivos, atacantes não autenticados podem usá-lo para ganhar execução de código remoto (RCE) em sistemas não atualizados.
A empresa alertou seus clientes na sexta-feira para "atualizarem imediatamente" para bloquear tentativas de atacantes de escapar do sistema de arquivos virtuais do usuário (VFS) e baixar arquivos do sistema.
Na terça-feira, a equipe de pesquisa de vulnerabilidades da Rapid7 confirmou a gravidade da falha de segurança, dizendo que era "totalmente não autenticada e trivialmente explorável".
"Uma exploração bem-sucedida permite, não apenas a leitura arbitrária de arquivos como root, mas também a burla da autenticação para acesso à conta de administrador e execução de código remoto completa," explicou a Rapid7.
Pesquisadores de segurança da plataforma de monitoramento de ameaças Shadowserver descobriram 1.401 instâncias não atualizadas do CrushFTP deixadas expostas online, a maioria delas nos Estados Unidos (725), Alemanha (115) e Canadá (108).
O Shodan também atualmente rastreia 5.232 servidores CrushFTP expostos à Internet, embora não forneça informações sobre quantos deles possam estar vulneráveis a ataques.
A empresa de cibersegurança CrowdStrike divulgou um relatório de inteligência na sexta-feira após a CrushFTP divulgar o "zero-day" ativamente explorado e lançar patches, revelando que atacantes estavam visando servidores CrushFTP em várias organizações dos EUA em uma campanha que parecia ser politicamente motivada para a coleta de inteligência.
De acordo com evidências encontradas pelas equipes Falcon OverWatch e Falcon Intelligence da CrowdStrike, o "zero-day" do CrushFTP estava sendo explorado em ataques direcionados.
Os usuários do CrushFTP são aconselhados a verificar regularmente o site do fornecedor para as últimas instruções e priorizar a aplicação de patches para se protegerem contra tentativas de exploração contínua.
A CISA também adicionou o
CVE-2024-4040
ao seu catálogo de Vulnerabilidades Exploradas Conhecidas na quarta-feira, ordenando que as agências federais dos EUA protejam seus servidores vulneráveis dentro de uma semana, até 1º de maio.
Em novembro, os clientes da CrushFTP também foram advertidos para corrigir uma vulnerabilidade crítica de RCE (
CVE-2023-43177
) após pesquisadores de segurança da Converge, que descobriram e relataram a falha, publicarem um exploit de conceito de prova.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...