Старый баг – новые риски: после публикации эксплойта для CrushFTP под угрозой 10 000 серверов

В популярном ПО для защищенного обмена файлами, CrushFTP, обнаружен опасный баг, дающий злоумышленникам возможность получить полный контроль над уязвимым сервером.

На самом деле уязвимость CVE-2023-43177 эксперты компании Converge обнаружили еще в августе. Разработчики CrushFTP оперативно исправили проблему в версии 10.5.2. Однако недавно Converge опубликовала технические детали и эксплойт, что сделало ее ещё более опасной для необновленных систем.

Эксплуатация уязвимости возможна удаленно, без аутентификации. Злоумышленники посылают вредоносный трафик на порты 80, 443, 8080 или 9090, используя специальные HTTP-заголовки. Это позволяет перехватывать активные сессии администратора.

По оценкам Converge, около 10 000 серверов с установленным CrushFTP доступны из интернета и подвержены атакам. Компания призывает всех пользователей срочно установить патч и применить дополнительные меры защиты.

Детально описывая принцип работы уязвимости, исследователи отмечают, что злоумышленники используют недостатки в обработке заголовков AS2 для изменения свойств пользовательских сессий.

Это позволяет не только читать и удалять файлы на сервере, но и выполнить произвольный код, добиваясь полного контроля над системой.

Чтобы скрыться от инструментов обнаружения, хакеры манипулируют файлами с помощью функции drain_log(). А также применяют функцию sessions.obj для повышения привилегий.

Команда Converge выпустила видео с подробной демонстрацией эксплойта.

К сожалению, по словам специалистов, установка патчей не гарантирует полную защиту от угроз. Хакеры прокачали свои методы для атак даже на обновленные системы.

Чтобы снизить риски, эксперты рекомендуют:

1. Обновить CrushFTP до последней версии.

2. Включить автоматическое обновление безопасности.

3. Изменить алгоритм пароля на Argon.

4. Провести аудит на наличие неавторизованных сессий.

5. Активировать новый режим Limited Server для укрепления защиты.

Учитывая появление рабочего эксплойта, атаки на уязвимые системы могут начаться в самое ближайшее время. Поэтому крайне важно принять меры как можно скорее.