Более 1400 серверов CrushFTP, доступных из Интернета, уязвимы к атакам, эксплуатирующим критическую серверную уязвимость CVE-2024-4040. Эта уязвимость, об активной эксплуатации которой мы уже писали в начале недели, позволяет неаутентифицированным злоумышленникам получить доступ к файлам и выполнить удалённый код на необновлённых системах.
Компания CrushFTP предупредила клиентов о необходимости немедленного обновления, чтобы предотвратить попытки злоумышленников выйти за пределы виртуальной файловой системы (VFS) и скачать системные файлы.
Исследователи из Rapid7 подтвердили,что уязвимость имеет высокую степень опасности и может быть легко эксплуатирована. “Успешная эксплуатация позволяет не только считывать произвольные файлы от имени root, но и обходить аутентификацию для доступа к учётной записи администратора и полного удалённого выполнения кода”, – пояснили специалисты.
Согласно данным Shadowserver, большинство уязвимых серверов CrushFTP расположены в США (725), Германии (115) и Канаде (108). Shodan отслеживает более 5200 интернет-доступных CrushFTP серверов, но не предоставляет информации о том, сколько из них уязвимы к атакам.
Как уже было сказано ранее, уязвимость активно эксплуатируется в целенаправленных атаках, и была использована в качестве zero-day ещё до выхода официального исправления. Хакеры в том числе используют данную брешь в политически мотивированных кампаниях по сбору разведывательной информации.
Пользователям CrushFTP рекомендуется незамедлительно обновить свои установки до безопасных версий, а также регулярно проверять сайт производителя для получения последних инструкций для защиты от продолжающихся попыток эксплуатации.
Управление кибербезопасности США (CISA) также добавилоCVE-2024-4040 в каталог известных эксплуатируемых уязвимостей и приказало местным федеральным агентствам обеспечить безопасность уязвимых серверов в течение недели.