Last Updated on 2024-06-29 08:32 by admin
CrushFTPとセキュリティ研究者は、CrushFTPサーバーに存在するサンドボックス脱出の脆弱性について警告している。この脆弱性は、米国の組織を対象としたゼロデイ攻撃で既に悪用されている。脆弱性はCVE-2024-4040として追跡され、CrushFTPファイル転送サーバーのバージョン11.1における不適切な入力検証バグである。CrushFTPは4月19日に製品のバージョン11.1.0をリリースし、この脆弱性を修正したが、既に悪用されている報告がある。
攻撃は、情報収集を目的とした標的型であり、政治的な動機がある可能性が示唆されている。Tenableの新しい研究により、7,100以上のCrushFTPサーバーが公開されていることがShodanクエリで特定されたが、これらのシステムの何台が脆弱であるかは不明である。脆弱性を悪用するための証明概念(PoC)が公開されており、攻撃者は未修正のサーバーに対する攻撃を続ける可能性がある。
CVE-2024-4040は、攻撃者がサーバーの仮想ファイルシステム(VFS)サンドボックスを脱出し、システムファイルにアクセスしてダウンロードすることを可能にする任意の読み取りの脆弱性である。しかし、Rapid7の研究者は、この脆弱性がサーバーサイドテンプレートインジェクション(SSTI)としてより正確に分類できると信じている。成功した悪用により、リモートから認証されていない攻撃者がCrushFTPインスタンスに保存されているすべてのファイルにアクセスし、潜在的に抽出することが可能である。
組織は、製品の修正版にシステムを更新することで、この状況を軽減することができる。CrushFTPの顧客は、サーバーを管理者レベルのリモートコード実行(RCE)攻撃に対して強化し、可能な限り制限的な設定でLimited Serverモードを有効にすることを推奨されている。
【ニュース解説】
CrushFTPサーバーに存在するサンドボックス脱出の脆弱性が、米国の組織を対象にしたゼロデイ攻撃で悪用されているという警告が、CrushFTPとセキュリティ研究者から発せられました。この脆弱性は、CVE-2024-4040として追跡されており、CrushFTPファイル転送サーバーのバージョン11.1における不適切な入力検証バグによるものです。CrushFTPはこの問題を修正するために、4月19日に製品のバージョン11.1.0をリリースしましたが、その時点で既に悪用されている事例が報告されています。
この攻撃は、情報収集を目的とした標的型であり、政治的な動機がある可能性が示唆されています。Tenableによる新しい研究では、7,100以上のCrushFTPサーバーが公開されていることがShodanクエリで特定されましたが、これらのシステムのうち何台が脆弱であるかは不明です。脆弱性を悪用するための証明概念(PoC)が公開されており、攻撃者は未修正のサーバーに対する攻撃を続ける可能性があります。
CVE-2024-4040は、攻撃者がサーバーの仮想ファイルシステム(VFS)サンドボックスを脱出し、システムファイルにアクセスしてダウンロードすることを可能にする任意の読み取りの脆弱性です。しかし、Rapid7の研究者は、この脆弱性がサーバーサイドテンプレートインジェクション(SSTI)としてより正確に分類できると考えています。成功した悪用により、リモートから認証されていない攻撃者がCrushFTPインスタンスに保存されているすべてのファイルにアクセスし、潜在的に抽出することが可能です。
組織は、製品の修正版にシステムを更新することで、この状況を軽減することができます。CrushFTPの顧客は、サーバーを管理者レベルのリモートコード実行(RCE)攻撃に対して強化し、可能な限り制限的な設定でLimited Serverモードを有効にすることが推奨されています。
この脆弱性の発見と公表は、クラウドベースのファイル転送システムのセキュリティに対する注意を喚起します。特に、政治的な動機に基づく標的型攻撃の可能性がある場合、組織は自身のセキュリティ対策を見直し、最新のセキュリティパッチを適用することの重要性が強調されます。また、このような脆弱性が公開されると、悪意のある攻撃者だけでなく、セキュリティ研究者によるさらなる調査や、セキュリティコミュニティによる対策の共有が促進されることも期待されます。しかし、同時に、未修正のシステムに対する攻撃のリスクが高まるため、迅速な対応が求められます。
from Patch Now: CrushFTP Zero-Day Cloud Exploit Targets US Orgs.
