CrushFTP a averti ses clients aujourd’hui dans un mémo privé d’une vulnérabilité zero-day activement exploitée corrigée dans les nouvelles versions publiées aujourd’hui, les exhortant à corriger immédiatement leurs serveurs.

Comme l’entreprise l’explique également dans un avis de sécurité publique publié vendredi, ce bogue zero-day permet aux attaquants non authentifiés d’échapper au système de fichiers virtuel (VFS) de l’utilisateur et de télécharger des fichiers système.

Cependant, ceux qui utilisent un réseau de périmètre DMZ (zone démilitarisée) devant leur instance principale CrushFTP sont protégés contre les attaques.

« Veuillez prendre des mesures immédiates pour corriger DÈS que POSSIBLE. Une vulnérabilité a été signalée aujourd’hui (19 avril 2024), et nous l’avons corrigée immédiatement. [..] Cette vulnérabilité existe dans la nature », a averti la société par courrier électronique.

« L’essentiel de cette vulnérabilité est que tout utilisateur non authentifié ou authentifié via l’interface Web pourrait récupérer des fichiers système qui ne font pas partie de leur VFS. Cela pourrait conduire à une escalade au fur et à mesure qu’ils en apprennent davantage, etc. »

La société a également averti les clients dont les serveurs exécutent encore CrushFTP v9 de passer immédiatement à la v11 ou de mettre à jour leur instance via le tableau de bord.

« Il y a un simple retour en arrière au cas où vous auriez un problème ou une régression avec certaines fonctionnalités. Mettez à jour immédiatement », a averti CrushFTP.

La faille de sécurité a été signalée par Simon Garrelou d’Airbus CERT et est désormais corrigée dans les versions 10.7.1 et 11.1.0 de CrushFTP.

Selon Shodan, au moins 2 700 instances CrushFTP ont leur interface Web exposée en ligne à des attaques, bien qu’il soit impossible de déterminer combien doivent encore être corrigées.

Exploité dans des attaques ciblées
La société de cybersécurité CrowdStrike a également confirmé la vulnérabilité (qui n’a pas encore reçu d’identifiant CVE attribué) dans un rapport de renseignement contenant plus d’informations sur les tactiques, techniques et objectifs (TTP) des attaquants.

CrowdStrike affirme que ses équipes Falcon OverWatch et Falcon Intelligence ont vu le CrushFTP zero-days être exploité dans des attaques ciblées.

Les acteurs de la menace ciblent les serveurs CrushFTP de plusieurs organisations américaines, et les preuves indiquent une campagne de collecte de renseignements, probablement motivée par des considérations politiques.

« Falcon OverWatch et Falcon Intelligence ont observé que cet exploit était utilisé dans la nature de manière ciblée », explique CrowdStrike.

« Les utilisateurs de CrushFTP doivent continuer à suivre le site Web du fournisseur pour obtenir les instructions les plus à jour et prioriser les correctifs. »

En novembre, les clients de CrushFTP ont également été avertis de corriger une vulnérabilité critique d’exécution de code à distance (CVE-2023-43177) après que les chercheurs en sécurité de Converge qui ont signalé la faille ont également publié un exploit de validation de principe.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *