CrushFTP は、本日リリースされた新バージョンで修正された、積極的に悪用されるゼロデイ脆弱性について、プライベートメモで顧客に警告し、サーバーに直ちにパッチを適用するよう促した。
同社が金曜日に公開したセキュリティ勧告でも説明しているように、このゼロデイ・バグによって、認証されていない攻撃者がユーザーの仮想ファイル・システム(VFS)をエスケープし、システム・ファイルをダウンロードすることが可能になる。
しかし、メインのCrushFTPインスタンスの前にDMZ(非武装地帯)境界ネットワークを使用している場合は、攻撃から保護されます。
「早急なパッチ適用をお願いします。本日(2024年4月19日)、脆弱性が報告されました。[この脆弱性は野放し状態で存在します」と同社は電子メールで顧客に警告した。
「この脆弱性の要点は、WebInterfaceを介した認証されていない、または認証されたユーザーが、自分のVFSの一部ではないシステム・ファイルを取得できる可能性があるということです。これは、彼らがより多くを学ぶようにエスカレーションにつながる可能性がある、など”
同社はまた、まだCrushFTP v9を実行しているサーバーを持つ顧客に対して、直ちにv11にアップグレードするか、ダッシュボード経由でインスタンスを更新するよう警告している。
“いくつかの機能で問題やリグレッションが発生した場合、簡単なロールバックがあります。直ちにアップデートしてください」とCrushFTPは警告している。
このセキュリティ欠陥はAirbus CERTのSimon Garrelou氏によって報告され、現在CrushFTPのバージョン10.7.1と11.1.0で修正されている。
Shodanによると、少なくとも2,700のCrushFTPインスタンスが、ウェブインターフェイスがオンラインで攻撃にさらされている。
標的型攻撃に悪用される
サイバーセキュリティ企業のCrowdStrikeも、攻撃者の戦術、技術、目的(TTPs)に関する詳細な情報を記載したインテリジェンスレポートで、この脆弱性(CVE IDはまだ割り当てられていない)を確認した。
CrowdStrikeによると、同社のFalcon OverWatchチームとFalcon Intelligenceチームは、標的型攻撃でCrushFTPのゼロデイが悪用されているのを確認しているという。
脅威の主体は、複数の米国組織のCrushFTPサーバーを標的にしており、その証拠は、政治的な動機がある可能性が高い情報収集キャンペーンを指摘している。
「CrowdStrikeは、「Falcon OverWatchとFalcon Intelligenceは、このエクスプロイトが標的型攻撃で使用されていることを確認している。
「CrushFTPのユーザーは、引き続きベンダーのウェブサイトに従って最新の手順を確認し、優先的にパッチを適用する必要がある。
11月には、CrushFTPのユーザーに対して、重大なリモートコード実行の脆弱性(CVE-2023-43177)のパッチを当てるよう警告が出された。
Comments