CrushFTP 提醒用户立即修复已遭利用的 0day 漏洞

不过，在主 CrushFTP 实例前使用DMZ（非军事区）周边网络的用户不受该攻击影响。该公司在邮件中提醒用户称，“请立即采取措施尽快打补丁。今天（2024年4月19日）报送的漏洞，我们立即将其修复。该漏洞在野存在。该漏洞的底线是任何通过 WebInterface的未认证或认证用户可检索并非其虚拟文件系统组成部分的系统文件，从而导致提权等后果。”

该公司还提醒称，如用户的服务器仍然运行 CrushFTP v9，则应立即升级至v11或通过主板更新实例。CrushFTP 公司提醒称，“如果遇到一些功能问题或回归，则需要简单回滚。立即更新。”

该漏洞由 Airbus CERT 的研究员 Simon Garrelou 报送，目前已在 CrushFTP 10.7.1和11.1.0中修复。从Shodan 搜索结果可知，至少有2700个 CrushFTP 实例的 web 接口被暴露到网络，尽管现在无法判断尚未打补丁的数量。

网络安全公司 CrowdStrike 也在情报报告中确认了该漏洞（尚无CVE编号）的存在，并进一步提供了该攻击者的战术、技术和目标。

该公司表示，Falcon OverWatch 和 Falcon Intelligence 团队发现CrushFTP 0day 漏洞被用于目标攻击中。威胁行动者们正在攻击多家美国组织机构中的 CrushFTP 服务器，并有证据表明为情报收集活动服务，目的可能是出于政治目标。该公司指出，“Falcon OverWatch 和 Falcon Intelligence 已发现该利用被用于在野针对性攻击中。CrushFTP 用户应该持续追踪厂商网站，获得最新指南并安排修复优先级。”

去年11月，CrushFTP 提醒用户修复一个严重的RCE漏洞 (CVE-2024-43177)。该漏洞由 Converge 公司的安全研究员报送，后者还发布了 PoC 代码。