CrushFTP в огне: 1400 серверов на грани компрометации

Более 1400 серверов CrushFTP, доступных из Интернета, уязвимы к атакам, эксплуатирующим критическую серверную уязвимость CVE-2024-4040. Эта уязвимость, об активной эксплуатации которой мы уже писали в начале недели, позволяет неаутентифицированным злоумышленникам получить доступ к файлам и выполнить удалённый код на необновлённых системах.

Компания CrushFTP предупредила клиентов о необходимости немедленного обновления, чтобы предотвратить попытки злоумышленников выйти за пределы виртуальной файловой системы (VFS) и скачать системные файлы.

Исследователи из Rapid7 подтвердили, что уязвимость имеет высокую степень опасности и может быть легко эксплуатирована. «Успешная эксплуатация позволяет не только считывать произвольные файлы от имени root, но и обходить аутентификацию для доступа к учётной записи администратора и полного удалённого выполнения кода», — пояснили специалисты.

Согласно данным Shadowserver, всего уязвимых серверов CrushFTP свыше 1400, большинство из них расположены в США (725), Германии (115) и Канаде (108).

Shodan вообще отслеживает более 5200 интернет-доступных CrushFTP серверов, но не предоставляет информации о том, сколько из них уязвимы к атакам.

Как уже было сказано ранее, уязвимость активно эксплуатируется в целенаправленных атаках, и была использована в качестве zero-day ещё до выхода официального исправления. Хакеры в том числе используют данную брешь в политически мотивированных кампаниях по сбору разведывательной информации.

Пользователям CrushFTP рекомендуется незамедлительно обновить свои установки до безопасных версий, а также регулярно проверять сайт производителя для получения последних инструкций для защиты от продолжающихся попыток эксплуатации.

Управление кибербезопасности США (CISA) также добавило CVE-2024-4040 в каталог известных эксплуатируемых уязвимостей и приказало местным федеральным агентствам обеспечить безопасность уязвимых серверов в течение недели.