CrushFTP ranjivost CVE-2024-4040
CrushFTP je FTP server softver otvorenog kôda koji pruža usluge bezbjednog prenosa datoteka koristeći SSL/TLS enkripciju. Kritična ranjivost (CVE-2024-4040) otkrivena je u verzijama 10 i 11 softvera, koja omogućava neautorizovanim ili autentifikovanim korisnicima da pristupe sistemskim datotekama izvan svog virtuelnog sistema datoteka. Ova bezbjednosna greška može dovesti do proizvoljnog čitanja datoteke i trenutno je pod aktivnim iskorištavanjem u sajber prostoru.
CRUSHFTP
CrushFTP je popularan File Transfer Protocol – FTP server otvorenog kôda koji je razvila kompanija Crush Technologies. Pruža bezbjedne FTP usluge koristeći protokol Secure Sockets Layer/Transport Layer Security (SSL/TLS) za šifrovanje podataka koji se prenose između klijenata i servera. Softver podržava različite funkcije kao što su virtuelni hosting, liste kontrole pristupa i prilagodljive poruke o grešci. CrushFTP podržava različite bezbjedne protokole kao što su FTP, SFTP, FTPS, HTTP, HTTPS, WebDAV i WebDAV SSL. Pruža funkcije za automatizaciju, skriptovanje, upravljanje korisnicima i opsežne opcije prilagođavanja kako bi se zadovoljile različite potrebe preduzeća i organizacija
Međutim, kritičnu ranjivost u CrushFTP verzijama 10 i 11, identifikovanu kao CVE-2024-4040, otkrio je inženjer bezbjednosti Simon Garrelou, Airbus CERT. Ova ranjivost omogućava neautorizovanim ili autentifikovanim korisnicima preko veb interfjesa da preuzmu sistemske datoteke koje nisu dio njihovog virtuelnog sistema datoteka (eng. Virtual File System – VFS). Iskorištavanje ove ranjivosti može potencijalno dovesti do eskalacije i daljih napada na pogođene sisteme.
“Uspješna eksploatacija omogućava ne samo proizvoljno čitanje datoteka kao root, već i zaobilaženje autentifikacije za pristup administratorskom nalogu i potpuno daljinsko izvršavanje kôda. Uspješna eksploatacija omogućava udaljenom napadaču bez autentifikacije da pristupi i potencijalno eksfiltrira sve datoteke pohranjene na CrushFTP instanci.”
– Rapid7 –
Ranjivost CVE-2024-4040
Nedavno identifikovana ranjivosti koju iskorištavaju zlonamjerni akteri je označena kao CVE-2024-4040 sa CVSS ocjenom 9.8 od 10. Ova ranjivost ubrizgavanja šablona na strani servera omogućava neautorizovanim udaljenim napadačima da čitaju datoteke iz sistema datoteka izvan zaštićenog okruženja, zaobiđu autentifikaciju da bi dobili administrativni pristup i izvršili daljinsko izvršavanje kôda na CrushFTP serveru. To može dovesti do kršenja podataka, neovlaštenog pristupa sistemu i potencijalne štete ili prekida poslovanja.
Kada napadač pošalje posebno napravljene podatke u zahtevu koji uključuje zlonamjerne šablone ili skripte, to može dovesti do izvršenja ovih skripti na pogođenom CrushFTP serveru. Ovo omogućava napadaču da zaobiđe autentifikaciju i dobije neovlašteni pristup sa administrativnim privilegijama. Uticaj ove ranjivosti je ozbiljan, jer napadaču daje punu kontrolu nad ciljanim CrushFTP serverom. Oni mogu da obavljaju razne zlonamjerne aktivnosti, kao što su:
- Krađa podataka iz kompromitovanog sistema ili mreže,
- Mogućnost pristupa drugim sistemima povezanim sa pogođenim CrushFTP serverom i potencijalno kretanjem bočno unutar infrastrukture organizacije,
- Održavanje dugoročnog prisustva na ciljanom sistemu, omogućavajući dalje napade ili špijunske aktivnosti,
- Uskraćivanje usluge (DoS) kroz ometanje normalnih operacija preopterećenjem servera prekomjernim saobraćajem ili zahtevima,
- Instalacija zlonamjernog softvera i njegovo izvršavanje za dalje izvršavanje raznih sajber napada.
Ranjivost je aktivno iskorišćena u ciljanim napadima, kako je izvijestila kompanija CrowdStrike. Napadači su se fokusirali na aktivnosti prikupljanja obavještajnih podataka, što ukazuje na moguću političku motivaciju.
Ranjivost je identifikovana u različitim CrushFTP verzijama prije verzije 11.1, uključujući sve zastarele instalacije i specifična izdanja za 9.x i 10.x verzije. Većina pogođenih CrushFTP instanci pronađena je u Sjedinjenim Američkim Državama (725), Njemačkoj (115) i Kanadi (108), prema podacima Shadowserver platforme.
ZAKLJUČAK
CrushFTP je server za prenos datoteka koji korisnicima pruža bezbjedne protokole, lakšu konfiguraciju i moćne alate za praćenje. Nudi veb interfejs koji omogućava prenos datoteka pomoću internet pregledača. Nedavno otkriće kritične ranjivosti u CrushFTP serveru za prenos datoteka izazvalo je zabrinutost među njegovom bazom korisnika.
Ranjivost nultog dana omogućava svakom korisniku da preuzme sistemske datoteke izvan virtuelnog sistema datoteka prisutnog u CrushFTP aplikaciji. Ovaj problem predstavlja značajan rizik, jer omogućava daljinsko izvršavanje kôda i potencijalni neovlašteni pristup osjetljivim podacima na pogođenim serverima.
Crush Technologies, kompanija koja stoji iza CrushFTP aplikacije, je priznala ozbiljnost ove situacije i pomaže korisnicima da se ažuriraju što je brže moguće, istovremeno podstičući budnost u pogledu održavanja sistema ažurnim. Interesovanje koje stvara ova ranjivost trebalo bi da dovede do povećane svesti među korisnicima, što će dovesti do brze akcije protiv potencijalnih prijetnji.
ZAŠTITA
Evo nekoliko načina da se korisnici i organizacije zaštite od CrushFTP CVE-2024-4040 ranjivosti:
- Najefikasniji način zaštite od ove ranjivosti je ažuriranje CrushFTP softvera na ispravljenu verziju što je pre moguće. Ovo će osigurati najnovije bezbjednosne zakrpe i preventivnu zaštitu na poznate eksploatacije,
- Iako demilitarizovana zona (eng. demilitarized zone – DMZ) možda neće u potpunosti moći da zaštiti od ove ranjivosti, ona ipak može da obezbijedi dodatni nivo bezbjednosti izolovanjem CrushFTP servera od interne mreže. Takođe bi trebalo koristiti zaštitni zid da se ograniči pristup CrushFTP serveru samo na pouzdane izvore i blokirati sav dolazni saobraćaj na nepotrebnim portovima,
- Omogućavanje autentifikacije u više koraka (eng. multi-factor authentication – MFA) za korisničke naloge može pomoći u sprečavanju neovlaštenog pristupa CrushFTP serveru, čak i ako napadač uspije da dobije kombinaciju korisničkog imena i lozinke. MFA dodaje dodatni nivo bezbjednosti zahvaljujući od korisnika da obezbijede dodatnu verifikaciju pre nego što mogu da se prijave,
- Redovno praćenje evidencija koje generiše CrushFTP server u potrazi za sumnjivim aktivnostima je od suštinskog značaja za rano otkrivanje i odgovor na potencijalne napade,
- Simulacije phishinga mogu pomoći da se zaposleni obuče kako da identifikuju prijetnje putem elektronske pošte i reaguju na njih, smanjujući rizik da postanu žrtve ciljanih napada koji iskorišćavaju ovu ranjivost. Redovna obuka za podizanje svesti o bezbjednosti je neophodna za održavanje bezbjednog okruženja,
- Instaliranje renomiranog antivirusnog softvera na sve sisteme povezane na mreži može pomoći u zaštiti od zlonamjernog softvera i drugih oblika zlonamjernog kôda koji se mogu koristiti za iskorišćavanje ove ranjivosti ili širenje kroz mrežu kada napadač dobije pristup,
- Sistemi za otkrivanje upada (eng. intrusion detection systems – IDS) su rješenja koja mogu pomoći u otkrivanju i reagovanju na napade u realnom vremenu, obezbeđujući rane znake upozorenja za potencijalne prijetnje u vezi sa ovom ranjivosti. Ovi sistemi bi trebalo da budu konfigurisani da nadgledaju saobraćaj na svim potrebnim portovima koje koristi CrushFTP i drugi relevantni protokoli.