首页
社区
课程
招聘
[分享]文件传输服务器软件CrushFTP曝0day漏洞,且已被利用
发表于: 2024-4-24 19:32 3639

[分享]文件传输服务器软件CrushFTP曝0day漏洞,且已被利用

2024-4-24 19:32
3639

CrushFTP公司周一表示,其文件传输服务器软件CrushFTP存在零日漏洞,并且已遭攻击者利用。该漏洞已在最新版本中得到修复,CrushFTP提醒用户立即进行修补。



该漏洞(CVE-2024-4040)由Airbus CERT的Simon Garrelou发现并报告。据了解,任何经过身份验证或未经身份验证的用户都可以通过WebInterface检索不属于其虚拟文件系统的系统文件,并且后续有攻击升级的风险。CrushFTP目前已在10.7.1和11.1.0版本中将之修复。


该漏洞的性质导致用户难以检查是否遭到利用,CrushFTP发言人称他们目前尚未听说有用户报告受害,但相信已经有一些未及时更新的用户受到影响,只是他们自己还没有意识到:

“我们已经看到已打补丁的用户遭到对该漏洞的探测。假如他们没有更新,重要的配置信息已被窃取。我们再次强调,客户需要尽快更新,或者阻止所有IP(除了已知可信IP,并以白名单模式运行)。” 



根据Censys的数据,目前有超过9600个公开暴露的CrushFTP主机,主要集中在北美和欧洲地区。网络安全公司CrowdStrike称他们的团队已观察到该漏洞有针对性的在野利用,另外还指出有多个美国实体受到影响,并表示这可能是出于政治动机的情报收集活动。


值得注意的是,文件传输工具是黑客非常感兴趣的目标,2023年就有两起重大安全事件涉及文件传输工具MOVEit和GoAnywhere,当时曝出的0day漏洞使数千家组织面临风险。



编辑:左右里

资讯来源:crushftp、helpnetsecurity

转载请注明出处和本文链接


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//