Hơn 1.400 máy chủ CrushFTP đã được phát hiện có một lỗ hổng nghiêm trọng cho phép tấn công kiểu chèn mẫu phía máy chủ (server-side template injection, SSTI). Lỗ hổng này trước đây đã bị khai thác như một lỗi zero-day.
Mặc dù phía CrushFTP mô tả CVE-2024-4040 là một lỗi thoát ra sandbox VFS trong phần mềm quản lý truyền tệp của họ để đọc tệp tùy ý, những kẻ tấn công có thể sử dụng nó để thực thi mã từ xa (RCE) trên các hệ thống chưa được vá.
Công ty đã cảnh báo khách hàng "cần cập nhật ngay lập tức" để chặn các tấn công nhằm thoát khỏi hệ thống tệp ảo (VFS) của người dùng và tải xuống các tệp hệ thống.
Vào thứ Ba, nhóm nghiên cứu lỗ hổng của Rapid7 đã xác nhận mức độ nghiêm trọng của lỗ hổng bảo mật này, cho biết nó "hoàn toàn không yêu cầu xác thực và rất dễ dàng khai thác".
"Việc khai thác thành công không chỉ cho phép đọc tệp tùy ý với quyền root, mà còn cho phép bỏ qua xác thực để truy cập tài khoản quản trị viên và thực thi mã từ xa", Rapid7 giải thích.
Các nhà nghiên cứu bảo mật từ nền tảng giám sát nguy cơ Shadowserver đã phát hiện 1.401 trường hợp máy chủ CrushFTP chưa được vá lỗi, hầu hết trong số đó ở Mỹ (725), Đức (115) và Canada (108).
Shodan hiện cũng theo dõi 5.232 máy chủ CrushFTP được kết nối Internet khác, mặc dù họ không cung cấp bất kỳ thông tin nào về số lượng máy chủ có thể dễ bị tấn công.
Bị khai thác trong các cuộc tấn công có chủ đích
Công ty an ninh mạng CrowdStrike đã công bố một báo cáo sau khi CrushFTP tiết lộ lỗ hổng và phát hành các bản vá. Họ tiết lộ rằng những kẻ tấn công đang nhắm vào các máy chủ CrushFTP tại nhiều tổ chức ở Mỹ trong một chiến dịch thu thập thông tin có động cơ chính trị.
Người dùng CrushFTP nên thường xuyên kiểm tra trang web của nhà cung cấp để biết các hướng dẫn mới nhất và ưu tiên vá lỗi để bảo vệ bản thân trước bối cảnh các cuộc tấn công này
Cơ quan An ninh Cơ sở Hạ tầng và An ninh mạng Hoa Kỳ (CISA) cũng đã thêm lỗi CVE-2024-4040 vào danh mục Các lỗ hổng đã bị khai thác. Họ yêu cầu các cơ quan liên bang Mỹ phải gia cường các máy chủ có thể bị tấn công trong vòng một tuần, trước ngày 1 tháng 5.
Vào tháng 11, các khách hàng của CrushFTP cũng đã được khuyên vá một lỗ hổng RCE nghiêm trọng khác (CVE-2023-43177) sau khi các nhà nghiên cứu bảo mật tại Converge phát hiện ra nó.