Según Crowdstrike, los atacantes están explotando la vulnerabilidad (CVE-2024-4040) en la solución de transferencia de archivos empresariales CrushFTP de forma selectiva.
La vulnerabilidad permite a los atacantes escapar de su sistema de archivos predeterminado y descargar archivos del sistema (es decir, archivos de configuración), pero sólo si la interfaz web de la solución está expuesta en línea.
de acuerdo a SíntesisActualmente hay más de 9600 servidores CrushFTP expuestos al público (virtual y físico), la mayoría de ellos en Norteamérica y Europa.
Acerca de CVE-2024-4040
Enviar CrushFTP Notificaciones CVE-2024-4040 se anunció a los clientes el viernes (19 de abril).
«La conclusión de esta vulnerabilidad es que cualquier usuario no autenticado o autenticado en la interfaz Web puede recuperar archivos del sistema que no forman parte de su VFS. Esto podría llevar a una escalada a medida que aprenden más y así sucesivamente», dijo la compañía.
Simon Jarillo, ingeniero de seguridad de Airbus CERT, descubrió la vulnerabilidad que afecta a CrushFTP v11 Y v10Se solucionó en v11.1.0 y v10.7.1. Los clientes que aún usan CrushFTP v9 deben actualizar a v11.1.0.
Los clientes que usan DMZ frente a su instancia principal de CrushFTP solo están parcialmente protegidos. Se recomienda a todos que actualicen sus servidores de inmediato.
Según la empresa, no existe una forma específica de comprobar si la vulnerabilidad ha sido explotada contra un host CrushFTP con acceso a Internet.
“La naturaleza de esto eran palabras comunes que podrían ya estar en su historial, por lo que no existe un término de búsqueda mágico que pueda verificarse.
Objetivos
Estos ataques contra los servidores CrushFTP parecen ser esfuerzos de reconocimiento. Crowdstrike dijo que varias entidades estadounidenses estaban siendo investigadas y que esta actividad de recopilación de inteligencia puede tener motivaciones políticas.
Pero las soluciones de transferencia de archivos de nivel empresarial también se han vuelto populares recientemente entre los atacantes que utilizan ransomware.
«Fanático del café. Amable aficionado a los zombis. Devoto practicante de la cultura pop. Malvado defensor de los viajes. Organizador típico».