Çevrimiçi olarak maruz kalan 1.400'den fazla crushftp sunucusu, şu anda kritik bir şiddet sunucu tarafı şablon enjeksiyonu (SSTI) güvenlik açığını hedefleyen saldırılara karşı savunmasız bulundu.
Crushftp, CVE-2024-4040'ı, keyfi dosya okumasını sağlayan yönetilen dosya aktarım yazılımında VFS sanal alanından kaçış olarak tanımlarken, kimlik doğrulanmamış saldırganlar, doldurulmamış sistemlerde uzaktan kod yürütme (RCE) kazanmak için kullanabilirler.
Şirket, Cuma günü müşterileri "hemen güncelleme" konusunda uyardı ve saldırgan kullanıcının sanal dosya sisteminden (VFS) kaçma ve sistem dosyalarını indirme girişimlerini engelledi.
Salı günü, Rapid7'nin güvenlik açığı araştırma ekibi, güvenlik kusurunun ciddiyetini doğruladı ve bunun "tamamen kimlik doğrulanmamış ve önemsiz bir şekilde sömürü" olduğunu söyledi.
Rapid7, "Başarılı sömürü, yalnızca rastgele dosyanın kök olarak okunmasına değil, aynı zamanda yönetici hesap erişimi ve tam uzaktan kumanda yürütme için kimlik doğrulama bypass'a izin verir."
Shadowserver tehdit izleme platformundan güvenlik araştırmacıları, çoğu Amerika Birleşik Devletleri (725), Almanya (115) ve Kanada'da (108) açık olan 1.401 crushftpsizsiz örnekleri keşfetti.
Shodan ayrıca şu anda 5.232 internete maruz kalan Crushftp sunucusu izliyor, ancak kaçının saldırılara karşı savunmasız olabileceği hakkında herhangi bir bilgi vermiyor.
Siber güvenlik şirketi Crowdstrike, Crushftp'in aktif olarak sömürülen sıfır günleri açıkladıktan ve patlamaları yayınladıktan sonra Cuma günü bir istihbarat raporu yayınladı ve saldırganların siyasi olarak motive olmuş bir istihbarat toplama kampanyası gibi görünen birden fazla ABD organizasyonunda CrushftP sunucularını hedeflediğini ortaya koydu.
Falcon Overwatch ve Crowdstrike'daki Falcon istihbarat ekipleri tarafından bulunan kanıtlara göre, Crushftp Zero-Day hedeflenen saldırılarda sömürülüyordu.
Crushftp kullanıcılarına, en son talimatlar için satıcının web sitesini düzenli olarak kontrol etmeleri ve devam eden sömürü girişimlerine karşı kendilerini korumak için yamaya öncelik vermeleri tavsiye edilir.
CISA ayrıca, ABD federal ajanslarının savunmasız sunucularını 1 Mayıs'a kadar güvence altına almaları gerektiğini emreterek, bilinen sömürülen güvenlik açıkları kataloğuna CVE-2024-4040 ekledi.
Kasım ayında, crushftp müşterileri, kusurun bir kavram kanıtı yayınladığını keşfeden ve bildiren güvenlik araştırmacılarının birleştikten sonra kritik bir RCE güvenlik açığı (CVE-2023-43177) yaması konusunda uyarıldı.
Kubernetes Cryptomining Saldırılarında Hacker Hack OpenMetadata Uygulamaları
Yeni Kritik TeamCity Auth Bypass hatası için kullanılabilir istismar, şimdi yama
Palo Alto Networks Backdoor Güvenlik Duvarlarına Sökülen Zero Day'i düzeltiyor
92.000 D-Link NAS cihazında kritik RCE hatası artık saldırılarda sömürüldü
Ivanti, RCE, DOS saldırılarına izin veren VPN ağ geçidi güvenlik açığını düzeltir
Kaynak: Bleeping Computer