-
-
[分享]文件传输服务器软件CrushFTP曝0day漏洞,且已被利用
-
2024-4-24 19:32
-
CrushFTP公司周一表示,其文件传输服务器软件CrushFTP存在零日漏洞,并且已遭攻击者利用。该漏洞已在最新版本中得到修复,CrushFTP提醒用户立即进行修补。
该漏洞(CVE-2024-4040)由Airbus CERT的Simon Garrelou发现并报告。据了解,任何经过身份验证或未经身份验证的用户都可以通过WebInterface检索不属于其虚拟文件系统的系统文件,并且后续有攻击升级的风险。CrushFTP目前已在10.7.1和11.1.0版本中将之修复。
该漏洞的性质导致用户难以检查是否遭到利用,CrushFTP发言人称他们目前尚未听说有用户报告受害,但相信已经有一些未及时更新的用户受到影响,只是他们自己还没有意识到:
“我们已经看到已打补丁的用户遭到对该漏洞的探测。假如他们没有更新,重要的配置信息已被窃取。我们再次强调,客户需要尽快更新,或者阻止所有IP(除了已知可信IP,并以白名单模式运行)。”
根据Censys的数据,目前有超过9600个公开暴露的CrushFTP主机,主要集中在北美和欧洲地区。网络安全公司CrowdStrike称他们的团队已观察到该漏洞有针对性的在野利用,另外还指出有多个美国实体受到影响,并表示这可能是出于政治动机的情报收集活动。
值得注意的是,文件传输工具是黑客非常感兴趣的目标,2023年就有两起重大安全事件涉及文件传输工具MOVEit和GoAnywhere,当时曝出的0day漏洞使数千家组织面临风险。
编辑:左右里
资讯来源:crushftp、helpnetsecurity
转载请注明出处和本文链接
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
