Un exploit de validation de principe a été rendu public pour une vulnérabilité critique d’exécution de code à distance dans la suite d’entreprise CrushFTP, permettant à des attaquants non authentifiés d’accéder aux fichiers sur le serveur, d’exécuter du code et d’obtenir des mots de passe en texte brut.

La vulnérabilité a été découverte en août 2023, suivie comme CVE-2023-43177, par les chercheurs en sécurité de Converge, qui l’ont signalée de manière responsable au fournisseur. Les développeurs ont publié un correctif du jour au lendemain dans la version CrushFTP 10.5.2.

Aujourd’hui, Converge a publié un exploit de validation de principe pour la faille CVE-2023-43177, ce qui rend essentiel pour les utilisateurs de CrushFTP d’installer les mises à jour de sécurité dès que possible.

Exploiter CrushFTP
L’exploit CrushFTP est réalisé via une vulnérabilité d’attribution de masse non authentifiée, exploitant l’analyse d’en-tête AS2 pour contrôler les propriétés de session utilisateur.

Cela permet aux attaquants de lire et de supprimer des fichiers, ce qui peut potentiellement conduire à un contrôle complet du système et à l’exécution de code à distance au niveau racine.

Les attaquants peuvent envoyer des charges utiles au service CrushFTP sur des ports spécifiques (80, 443, 8080, 9090) à l’aide d’en-têtes Web, qui laissent des traces de journaux.

Ensuite, les attaquants écrasent les données de session à l’aide de la fonction « putAll() » de Java, permettant l’usurpation d’identité d’« administrateurs », et exploitent la fonction « drain_log() » pour manipuler les fichiers selon les besoins afin de maintenir la furtivité.

Écrasement en masse des informations utilisateur

Finalement, les attaquants peuvent exploiter les « sessions ». obj’ dans le dossier d’installation du programme pour détourner les sessions utilisateur en direct appartenant aux comptes administrateur, obtenant essentiellement une escalade de privilèges.

Après avoir établi un accès administrateur, l’attaquant peut exploiter des failles dans la gestion du chargement du pilote SQL et des tests de configuration de la base de données (testDB) par le panneau d’administration pour exécuter du code Java arbitraire.

Code vulnérable permettant le RCE au niveau de l’administrateur

Converge a publié une démonstration de la vidéo de l’exploit PoC utilisé, comme indiqué ci-dessous.

Des milliers d’appareils vulnérables
Selon le rapport de Converge, il existe environ 10 000 instances CrushFTP publiques et probablement beaucoup plus derrière les pare-feu d’entreprise. La surface d’attaque est importante même si le nombre d’instances vulnérables n’a pas été déterminé.

Les produits de transfert de fichiers comme CrushFTP sont particulièrement attrayants pour les auteurs de ransomwares, en particulier Clop, connu pour exploiter les vulnérabilités du jour zéro dans des logiciels tels que MOVEit Transfer, GoAnywhere MFT et Accelion FTA pour mener des attaques de vol de données.

Malheureusement, les chercheurs ont révélé que même l’application des correctifs ne protège pas les points de terminaison CrushFTP contre toutes les menaces possibles.

« Les renseignements sur les menaces de Converge indiquent que le correctif de sécurité a fait l’objet d’une ingénierie inverse et que les adversaires ont développé des preuves de concept. Pour cette raison, une exploitation prochaine est probable. » – Converger
Pour atténuer efficacement le risque, il est recommandé de suivre ces étapes :

  1. Mettez à jour CrushFTP vers la dernière version.
  2. Activez les mises à jour automatiques des correctifs de sécurité.
  3. Changez l’algorithme de mot de passe en Argon.
  4. Vérifiez les utilisateurs non autorisés et vérifiez les modifications récentes du mot de passe.
  5. Activez le nouveau mode Serveur Limité pour une sécurité renforcée.

Les mesures supplémentaires qui peuvent être mises en œuvre pour améliorer davantage la sécurité de CrushFTP incluent :

  • Utilisation d’un compte de service du système d’exploitation à privilèges limités pour CrushFTP.
  • Déployer Nginx ou Apache en tant que proxy inverse pour les serveurs publics.
  • Définition de règles de pare-feu pour limiter le trafic CrushFTP aux plages IP et aux hôtes de confiance.

Il est essentiel de mettre en œuvre ces mesures de sécurité dès que possible, car les détails de l’exploit CVE-2023-43177 divulgués publiquement sont susceptibles d’être utilisés par des pirates informatiques dans des attaques opportunistes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *