最后更新于2024年4月26日(星期五)15:17:01 GMT

Rapid7漏洞研究人员Ryan Emmons对此博客有贡献.

2024年4月19日星期五,托管文件传输供应商CrushFTP 发布的信息 发送到一个私人邮件列表,内容涉及影响10以下版本的新零日漏洞.7.1和11.1.(以及遗产).X版本)支持所有平台. CVE不是由厂商分配的,而是由第三方CVE编号机构(CNA)分配的 cve - 2024 - 4040 从4月22日星期一开始. 根据一个面向公众的 供应商咨询, 该漏洞表面上是CrushFTP管理的文件传输软件中的VFS沙箱逃逸,允许“具有低权限的远程攻击者从VFS沙箱外的文件系统读取文件”.”

Rapid7的漏洞研究团队 分析了cve - 2024 - 4040 并确定它是 完全未经身份验证的 和 trivially exploitable; successful exploitation allows for not only arbitrary file read as root, 还可以绕过管理员帐户访问和完全远程代码执行的身份验证. 成功的开发允许远程, 未经身份验证的攻击者访问并可能泄露存储在CrushFTP实例上的所有文件. 见Rapid7's full cve - 2024 - 4040技术分析 在ackerkb中获取更多详细信息.

触发该漏洞的代码是 公开的 截至4月23日. cve - 2024 - 4040添加到美国.S. 网络安全和基础设施局(CISA)的已知利用漏洞(KEV)列表 4月24日.

尽管该漏洞已被正式描述为任意文件读取, Rapid7认为它可以更准确地归类为服务器端模板注入(SSTI). cve - 2024 - 4040作为零日漏洞在野外被利用, 根据供应商和a的私人客户通信 Reddit公开帖子 来自安全公司CrowdStrike. 使用在web界面中查找特定JavaScript文件的查询, 似乎有大致的 5200个实例 在公共互联网上公开的CrushFTP文件.

缓解指导

根据 咨询、CrushFTP版本 下面11.1 易受cve - 2024 - 4040攻击. 截至4月23日,以下版本的CrushFTP存在漏洞:

  • 所有遗留的CrushFTP 9安装
  • v10之前的CrushFTP 10.7.1
  • v11之前的CrushFTP 11.1.0

该漏洞已在版本11中修补.1.0代表11.X版本流,在版本10中.7.1对10.X版本流. 我们的研究团队已经验证了供应商提供的补丁有效地修复了cve - 2024 - 4040.

供应商的建议强调了在紧急情况下更新到固定版本的CrushFTP的重要性. Rapid7响应了这一指导, 特别是考虑到我们团队对这个问题的真实影响的调查结果, 并敦促组织在紧急情况下应用供应商提供的补丁, 无需等待典型的补丁周期发生.

而截至4月22日的供应商指南称“使用 非军事区 在它们的主CrushFTP实例前面的文件受到部分保护,“目前还不清楚这是否真的是一个有效的剥削障碍. 出于谨慎考虑,Rapid7建议不要依赖非军事区作为缓解策略.

检测的挑战

在漏洞分析过程中, Rapid7观察到难以有效检测cve - 2024 - 4040漏洞的几个因素. cve - 2024 - 4040的有效载荷可以以多种不同的形式交付. 当某些规避技巧被利用时, 有效载荷将从日志和请求历史中编校, 恶意请求将很难从合法流量中辨别出来. 标准反向代理后面的CrushFTP实例, 例如NGINX或Apache, 部分防御这些技术吗, 但我们的团队发现,规避战术仍然是可行的.

CrushFTP客户可以通过启用 有限服务器模式 使用最严格的配置. 组织还应该尽可能使用防火墙来严格限制允许访问CrushFTP服务的IP地址.

Rapid7客户

InsightVM和expose客户可以在4月24日发布的内容中使用经过身份验证的漏洞检查来评估他们对cve - 2024 - 4040的暴露程度. 客户也可以使用 查询构建器 (资产.软件.产品 包含 “CrushFTP”)或 过滤资产搜索 (软件的名字 包含 CrushFTP)在安装了CrushFTP的环境中查找资源.

通过Rapid7扩展的检测规则库,insighttidr和管理检测与响应(耐多药)客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是针对insighttidr和Rapid7 耐多药客户部署的检测的非详尽列表,并将在与此零日漏洞相关的利用后行为发出警报:

  • 可疑Web请求-可能的CrushFTP (cve - 2024 - 4040)利用

更新

2024年4月23日: 添加 检测的挑战 section. 请注意,我们的团队测试了供应商提供的补丁,发现它成功修复了cve - 2024 - 4040. 新增insighttidr和Rapid7 耐多药客户部署检测规则和告警. 增加了查询构建器信息,以帮助InsightVM和expose客户识别其环境中的CrushFTP安装. 增加了到空中客车CERT的链接 概念验证代码.

2024年4月24日: 新增cve - 2024 - 4040 中钢协KEV. InsightVM和expose客户现在可以使用漏洞检查. Rapid7对cve - 2024 - 4040的完整技术分析如下 现在在ackerkb中可用.