CrushFTP 向客户警告未经身份验证的 HTTP(S) 端口访问漏洞,并敦促他们立即修补其服务器。
正如该公司在周五发送给客户的电子邮件中所解释的那样(BleepingComputer 看到了这个严重程度极高的漏洞,目前追踪为 CVE-2025-2825),如果未打补丁的服务器通过 HTTP(S) 暴露在互联网上,攻击者就可以获得对未打补丁的服务器的未经身份验证的访问。
该公司警告说:请立即采取行动尽快修补。今天(2025 年 3 月 21 日)已解决一个漏洞。所有 CrushFTP v11 版本都受到影响。(早期版本不受影响。)。
此漏洞的根本原因是暴露的 HTTP(S) 端口可能导致未经身份验证的访问。如果您拥有 CrushFTP 的 DMZ 功能,则此漏洞会得到缓解。
虽然电子邮件称此漏洞仅影响 CrushFTP v11 版本,但网络安全公司 Rapid7 首次指出,同一天发布的公告称,CrushFTP v10 和 v11 都受到影响。
作为一种解决方法,那些无法立即将 CrushFTP 更新至版本 10.8.4+ 或 11.3.1+ 的用户,可以启用 DMZ(非军事区)外围网络选项来保护他们的 CrushFTP 实例,直到可以部署安全更新为止。
根据 Shodan 的数据,超过 3,400 个 CrushFTP 实例的 Web 界面已暴露在网上,容易受到攻击,尽管 BleepingComputer 无法确定有多少实例已经修补。但是,搜索互联网上所有可访问的 CrushFTP 服务器会返回超过 36,000 个结果。
2024 年 4 月,CrushFTP 还发布了安全更新,修补了一个被积极利用的零日漏洞( CVE-2024-4040 ),该漏洞允许未经身份验证的攻击者逃离用户的虚拟文件系统 (VFS) 并下载系统文件。
当时,网络安全公司 CrowdStrike 发现证据表明存在一场情报收集活动,可能出于政治动机,攻击者的目标是多个美国组织的 CrushFTP 服务器。
CISA将 CVE-2024-4040 添加到其已知被利用的漏洞目录中,命令美国联邦机构在一周内保护其网络上的易受攻击的服务器。
2023 年 11 月,报告该漏洞的 Converge 安全研究人员在该漏洞被修复三个月后发布了一个概念验证漏洞,随后 CrushFTP 客户也被警告修补该公司企业套件中的一个严重远程代码执行漏洞 ( CVE-2023-43177 )。
诸如 CrushFTP 之类的文件传输产品是勒索软件团伙(尤其是 Clop)青睐的目标,它与针对MOVEit Transfer、GoAnywhere MFT、Accelion FTA和Cleo软件中的零日漏洞的数据盗窃攻击有关。
原文始发于微信公众号(犀牛安全):CrushFTP 警告用户立即修补未经身份验证的访问漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3942604.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论