HackerNews 编译,转载请注明出处:
CrushFTP向客户发出警告,称存在一个未授权的HTTP(S)端口访问漏洞,并敦促他们立即更新服务器。
正如该公司在上周五发给客户的一封电子邮件中所解释的(BleepingComputer已看到该邮件),如果未打补丁的服务器通过HTTP(S)暴露在互联网上,该安全漏洞将使攻击者能够获得未授权的访问权限。
“请立即采取行动尽快打补丁。今天(2025年3月21日)已解决一个漏洞。所有CrushFTP v11版本均受影响。(没有更早的版本受到影响。)即将生成CVE编号,”该公司警告道。
“这个漏洞的核心在于暴露的HTTP(S)端口可能导致未授权访问。如果你启用了CrushFTP的DMZ功能,该漏洞将得到缓解。”
尽管邮件称此漏洞仅影响CrushFTP v11版本,但同一天发布的安全公告却指出,CrushFTP v10和v11均受影响,正如网络安全公司Rapid7首次指出的那样。
作为临时解决方案,那些无法立即更新至CrushFTP v11.3.1+(该版本修复了该漏洞)的用户可以启用DMZ(非军事区)外围网络选项来保护其CrushFTP实例,直到安全更新得以部署。
根据Shodan的数据显示,有超过3400个CrushFTP实例的Web界面暴露在互联网上,容易受到攻击,尽管BleepingComputer无法确定其中有多少已经打过补丁。
暴露在互联网上的CrushFTP实例(Shodan数据)
在2024年4月,CrushFTP还发布了安全更新,修复了一个正在被积极利用的零日漏洞(CVE-2024-4040),该漏洞允许未授权的攻击者逃离用户的虚拟文件系统(VFS)并下载系统文件。
当时,网络安全公司CrowdStrike发现了指向情报收集活动的证据,很可能是出于政治动机,攻击者针对了美国多个组织的CrushFTP服务器。
美国网络安全和基础设施安全局(CISA)将CVE-2024-4040添加到了其已知被利用漏洞目录中,并命令美国联邦机构在一周内确保其网络中易受攻击的服务器安全。
在2023年11月,CrushFTP客户还被警告要修复其企业套件中的一个严重远程代码执行漏洞(CVE-2023-43177),在该漏洞被修复三个月后,报告该漏洞的Converge安全研究人员发布了一个概念验证利用。
像CrushFTP这样的文件传输产品是勒索软件团伙的诱人目标,特别是Clop团伙,该团伙与针对MOVEit Transfer、GoAnywhere MFT、Accelion FTA和Cleo软件中的零日漏洞的数据盗窃攻击有关联。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
