CrushFTP cảnh báo người dùng vá ngay lỗ hổng zero-day đã bị khai thác

- Mới đây, CrushFTP đã cảnh báo các khách hàng về một lỗ hổng zero-day đã bị khai thác trong thực tế, hiện đã được vá, kêu gọi họ vá máy chủ của mình ngay lập tức.

Trong một tư vấn bảo mật được công bố vào thứ Sáu vừa qua, công ty giải thích rằng lỗ hổng zero-day này cho phép những kẻ tấn công không cần xác thực vượt qua hệ thống tệp ảo hóa (VFS) của người dùng và tải xuống các tệp hệ thống.

Công ty lưu ý rằng những người cấu hình máy chủ CrushFTP đặt trong vùng mạng perimeter DMZ sẽ được bảo vệ khỏi các cuộc tấn công. "Vui lòng hành động ngay lập tức để vá lỗ hổng càng sớm càng tốt. Một lỗ hổng đã được báo cáo vào ngày hôm nay (19 tháng 4 năm 2024) và chúng tôi đã vá nó ngay lập tức", công ty cảnh báo khách hàng qua email.

“Điểm mấu chốt của lỗ hổng này là bất kỳ người dùng nào chưa được xác thực hoặc xác thực thông qua WebInterface đều có thể truy xuất các tệp hệ thống không thuộc VFS của họ. Điều này có thể dẫn đến việc leo thang tấn công".

Công ty cũng cảnh báo những khách hàng sử dụng máy chủ đang chạy phiên bản CrushFTP v9 nên nâng cấp ngay lên v11 hoặc cập nhật phiên bản của họ.

Lỗ hổng bảo mật đã được Simon Garrelou của Airbus CERT báo cáo và hiện đã được khắc phục trong phiên bản CrushFTP 10.7.1 và 11.1.0. Theo Shodan, ít nhất 2.700 máy chủ CrushFTP có giao diện web có nguy cơ bị tấn công trực tuyến, mặc dù không thể xác định có bao nhiêu máy chủ vẫn chưa được vá.

Công ty an ninh mạng CrowdStrike cho biết các nhóm Falcon OverWatch và Falcon Intelligence của họ đã phát hiện các hoạt động khai thác lỗ hổng zero-day CrushFTP trong các cuộc tấn công có chủ đích.

Các tác nhân đe dọa đang nhắm mục tiêu vào các máy chủ CrushFTP tại nhiều tổ chức của Mỹ và bằng chứng cho thấy một chiến dịch thu thập thông tin tình báo, có thể có động cơ chính trị. CrowdStrike lưu ý: “Người dùng CrushFTP nên tiếp tục theo dõi trang web của nhà cung cấp để có hướng dẫn cập nhật nhất và ưu tiên vá lỗi”.

Vào tháng 11/2023, khách hàng của CrushFTP cũng được cảnh báo về một lỗ hổng thực thi mã từ xa nghiêm trọng (CVE-2023-43177) sau khi các nhà nghiên cứu bảo mật của Converge - những người đã báo cáo lỗ hổng này - phát hành mã khai thác cho lỗ hổng.

Người dùng nên thường xuyên theo dõi trang tin của nhà cung cấp sản phẩm, ứng dụng đang sử dụng để có thể nhanh chóng cập nhật bản vá hoặc áp dụng các biện pháp thay thế để giảm thiểu các rủi ro tiềm ẩn liên quan đến các lỗ hổng bảo mật.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)