Plus de 1 400 serveurs CrushFTP exposés en ligne ont été jugés vulnérables aux attaques ciblant actuellement une vulnérabilité d’injection de modèle côté serveur (SSTI) de gravité critique précédemment exploitée en tant que zero-day.
Alors que CrushFTP décrit CVE-2024-4040 comme une évasion de sandbox VFS dans son logiciel de transfert de fichiers géré qui permet la lecture arbitraire de fichiers, les attaquants non authentifiés peuvent l’utiliser pour obtenir l’exécution de code à distance (RCE) sur des systèmes non corrigés.
La société a averti vendredi ses clients de « mettre à jour immédiatement » pour bloquer les tentatives des attaquants d’échapper au système de fichiers virtuel (VFS) de l’utilisateur et de télécharger les fichiers système.
Mardi, l’équipe de recherche sur les vulnérabilités de Rapid7 a confirmé la gravité de la faille de sécurité, affirmant qu’elle était « totalement non authentifiée et trivialement exploitable. »
« Une exploitation réussie permet non seulement la lecture arbitraire de fichiers en tant que root, mais également le contournement de l’authentification pour l’accès au compte administrateur et l’exécution complète du code à distance », a expliqué Rapid7.
Les chercheurs en sécurité de la plateforme de surveillance des menaces Shadowserver ont découvert 1 401 instances CrushFTP non corrigées laissées exposées en ligne, la plupart aux États-Unis (725), en Allemagne (115) et au Canada (108).
Shodan suit également actuellement 5 232 serveurs CrushFTP exposés à Internet, bien qu’il ne fournisse aucune information sur le nombre d’entre eux qui pourraient être vulnérables aux attaques.
Activement exploité dans des attaques ciblées
La société de cybersécurité CrowdStrike a publié un rapport de renseignement vendredi après que CrushFTP a divulgué le jour zéro activement exploité et publié des correctifs, révélant que les attaquants ciblaient les serveurs CrushFTP de plusieurs organisations américaines dans ce qui ressemblait à une campagne de collecte de renseignements à motivation politique.
Selon les preuves trouvées par les équipes Falcon OverWatch et Falcon Intelligence de CrowdStrike, CrushFTP zero-day était exploité dans des attaques ciblées.
Il est conseillé aux utilisateurs de CrushFTP de consulter régulièrement le site Web du fournisseur pour obtenir les dernières instructions et de prioriser les correctifs pour se protéger contre les tentatives d’exploitation en cours.
CISA a également ajouté CVE-2024-4040 à son catalogue de vulnérabilités exploitées connues mercredi, ordonnant aux agences fédérales américaines de sécuriser leurs serveurs vulnérables dans un délai d’une semaine, d’ici le 1er mai.
En novembre, les clients de CrushFTP ont également été avertis de corriger une vulnérabilité critique de RCE (CVE-2023-43177) après que les chercheurs en sécurité de Converge qui ont découvert et signalé la faille ont publié un exploit de validation de principe.