5000 多台 CrushFTP 服务器被零日漏洞攻击

关键词

CrushFTP 服务器包含敏感数据并用于文件共享和存储，这使得它们经常成为黑客数据盗窃和勒索软件攻击的目标。

此外，CrushFTP 服务器中的漏洞可能被用来未经授权地访问网络或向连接的系统分发恶意软件。

最近，Silent Push 的研究人员发现，在版本 10.7.1/11.1.0 之前的 CrushFTP 中存在有严重的零日漏洞，标识为 CVE-2024-4040，其 CVSS 评分为 9.8。

技术分析

未经身份验证的漏洞允许攻击者通过 Web 界面逃离虚拟文件系统，获取管理员访问权限和远程代码执行功能。

CrushFTP 强烈建议立即进行升级，即使是在 DMZ（隔离区域）部署的情况下也是如此。

研究人员正在监控此漏洞，并利用易受攻击的域、托管服务的 IP 和基础设施填充数据源，并积极利用 CVE-2024-4040 进行早期检测。

Silent Push 每天进行互联网范围内的扫描，利用 SPQL 对数据进行分类，以定位相关的基础设施和内容。

利用 CVE-2024-4040 的信息，已确定了暴露于互联网的 CrushFTP Web 界面可利用的情况。

由此产生的易受攻击的域和 IP 已经被聚集到两个批量数据源中，供企业客户分析受影响的基础设施。

下面，提到了这两个批量数据源：

·CrushFTP 易受攻击的域

·CrushFTP 易受攻击的 IP

SPQL 的核心是一种跨越 90 多个类别的 DNS 数据分析工具。纵观全球范围内，CrushFTP 接口容易受到 CVE-2024-4040 的攻击的国家，大多数位于美国和加拿大，但也有许多可以在南美洲、俄罗斯、亚洲和澳大利亚以及其他地方找到。

企业用户可以下载原始数据，并以 API 端点的形式导出批量数据源，其中列出易受攻击的 CrushFTP 域和 IP。

有了这些信息，安全团队就可以识别其网络中的弱点，并告知用于评估外部危险的风险评分系统。

同时，用于早期检测的源可以实时跟踪入侵尝试，同时记录与这些尝试相关的基础设施，以便可以自动阻止它。