CrushFTP a averti les clients d’une vulnérabilité d’accès au port HTTP(S) non authentifié et les a exhortés à corriger immédiatement leurs serveurs.
Comme l’entreprise l’a également expliqué dans un e-mail envoyé aux clients vendredi (vu par Breachtrace), la faille de sécurité permet aux attaquants d’obtenir un accès non authentifié à des serveurs non patchés s’ils sont exposés sur Internet via HTTP(S).
« Veuillez prendre des mesures immédiates pour corriger DÈS que POSSIBLE. Une vulnérabilité a été corrigée aujourd’hui (21 mars 2025). Toutes les versions de CrushFTP v11 ont été affectées. (Aucune version antérieure n’est affectée.) Un CVE sera généré prochainement », a averti la société.
« L’essentiel de cette vulnérabilité est qu’un port HTTP(S) exposé pourrait conduire à un accès non authentifié. La vulnérabilité est atténuée Si vous avez la fonctionnalité DMZ de CrushFTP en place. »
Alors que l’e-mail indique que cette vulnérabilité n’affecte que les versions CrushFTP v11, un avis publié le même jour indique que CrushFTP v10 et v11 sont affectés, comme l’a d’abord noté la société de cybersécurité Rapid7.
Pour contourner ce problème, ceux qui ne peuvent pas mettre à jour immédiatement CrushFTP v11.3.1+ (qui corrige la faille) peuvent activer l’option de réseau de périmètre DMZ (zone démilitarisée) pour protéger leur instance CrushFTP jusqu’à ce que des mises à jour de sécurité puissent être déployées.
Selon Shodan, plus de 3 400 instances CrushFTP ont leur interface Web exposée en ligne à des attaques, bien que Breachtrace n’ait pas pu déterminer combien ont déjà été corrigées.
En avril 2024, CrushFTP a également publié des mises à jour de sécurité pour corriger une vulnérabilité zero-day activement exploitée (CVE-2024-4040) qui permettait à des attaquants non authentifiés d’échapper au système de fichiers virtuel (VFS) de l’utilisateur et de télécharger des fichiers système.
À l’époque, la société de cybersécurité CrowdStrike a trouvé des preuves indiquant une campagne de collecte de renseignements, probablement motivée par des considérations politiques, les attaquants ciblant les serveurs CrushFTP de plusieurs organisations américaines.
CISA a ajouté CVE-2024-4040 à son catalogue de vulnérabilités exploitées connues, ordonnant aux agences fédérales américaines de sécuriser les serveurs vulnérables sur leurs réseaux dans un délai d’une semaine.
En novembre 2023, les clients de CrushFTP ont également été avertis de corriger une vulnérabilité critique d’exécution de code à distance (CVE-2023-43177) dans la suite Enterprise de la société après que les chercheurs en sécurité de Converge qui ont signalé la faille ont publié un exploit de validation de principe trois mois après la correction de la faille.
Les produits de transfert de fichiers comme CrushFTP sont des cibles attrayantes pour les gangs de ransomwares, en particulier Clop, qui était lié à des attaques de vol de données ciblant les vulnérabilités zero-day dans MOVEit Transfer, GoAnywhere MFT, Accelion FTA et Cleo software.