最后更新于2024年6月14日星期五20:23:42 GMT
Rapid7漏洞研究人员Ryan Emmons对此博客有贡献.
2024年4月19日星期五,托管文件传输供应商CrushFTP 发布的信息 到一个新的私人邮件列表上 零日漏洞 影响低于10的版本.7.1 and 11.1.(以及遗产).X版本)支持所有平台. CVE不是由厂商分配的,而是由第三方CVE编号机构(CNA)分配的 CVE-2024-4040 从4月22日星期一开始. 根据一个面向公众的 供应商咨询, 该漏洞表面上是CrushFTP管理的文件传输软件中的VFS沙箱逃逸,允许“具有低权限的远程攻击者从VFS沙箱外的文件系统读取文件”.”
Rapid7的漏洞研究团队 分析了cve - 2024 - 4040 并确定它是 完全未经身份验证的 and trivially exploitable; successful exploitation allows for not only arbitrary file read as root, 还可以绕过管理员帐户访问和完全远程代码执行的身份验证. 成功的开发允许远程, 未经身份验证的攻击者访问并可能泄露存储在CrushFTP实例上的所有文件. 见Rapid7's full CVE-2024-4040技术分析 在ackerkb中获取更多详细信息.
触发该漏洞的代码是 公开的 截至4月23日. CVE-2024-4040添加到美国.S. 网络安全和基础设施局(CISA)的已知利用漏洞(KEV)列表 on April 24.
尽管该漏洞已被正式描述为任意文件读取, Rapid7认为它可以更准确地归类为服务器端模板注入(SSTI). CVE-2024-4040作为零日漏洞在野外被利用, 根据供应商和a的私人客户通信 Reddit公开帖子 来自安全公司CrowdStrike. 使用在web界面中查找特定JavaScript文件的查询, 似乎有大致的 5200个实例 在公共互联网上公开的CrushFTP文件.
缓解指导
根据 advisory、CrushFTP版本 below 11.1 易受CVE-2024-4040攻击. 截至4月23日,以下版本的CrushFTP存在漏洞:
- 所有遗留的CrushFTP 9安装
- v10之前的CrushFTP 10.7.1
- v11之前的CrushFTP 11.1.0
该漏洞已在版本11中修补.1.0 for the 11.X版本流,在版本10中.7.1 for the 10.X版本流. 我们的研究团队已经验证了供应商提供的补丁有效地修复了CVE-2024-4040.
供应商的建议强调了在紧急情况下更新到固定版本的CrushFTP的重要性. Rapid7响应了这一指导, 特别是考虑到我们团队对这个问题的真实影响的调查结果, 并敦促组织在紧急情况下应用供应商提供的补丁, 无需等待典型的补丁周期发生.
而截至4月22日的供应商指南称“使用 DMZ 在它们的主CrushFTP实例前面的文件受到部分保护,“目前还不清楚这是否真的是一个有效的剥削障碍. 出于谨慎考虑,Rapid7建议不要依赖DMZ作为缓解策略.
检测的挑战
在漏洞分析过程中, Rapid7观察到难以有效检测CVE-2024-4040漏洞的几个因素. CVE-2024-4040的有效载荷可以以多种不同的形式交付. 当某些规避技巧被利用时, 有效载荷将从日志和请求历史中编校, 恶意请求将很难从合法流量中辨别出来. 标准反向代理后面的CrushFTP实例, 例如NGINX或Apache, 部分防御这些技术吗, 但我们的团队发现,规避战术仍然是可行的.
CrushFTP客户可以通过启用 有限服务器模式 使用最严格的配置. 组织还应该尽可能使用防火墙来严格限制允许访问CrushFTP服务的IP地址.
Rapid7客户
InsightVM和expose客户可以在4月24日发布的内容中使用经过身份验证的漏洞检查来评估他们对CVE-2024-4040的暴露程度. 客户也可以使用 Query Builder (asset.software.product CONTAINS 'CrushFTP') or a 过滤资产搜索 (Software Name contains CrushFTP)在安装了CrushFTP的环境中查找资源.
通过Rapid7扩展的检测规则库,insighttidr和管理检测与响应(MDR)客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是针对insighttidr和Rapid7 MDR客户部署的检测的非详尽列表,并将在与此零日漏洞相关的利用后行为发出警报:
- 可疑Web请求-可能的CrushFTP (CVE-2024-4040)利用
Updates
2024年4月23日: Added 检测的挑战 section. 请注意,我们的团队测试了供应商提供的补丁,发现它成功修复了CVE-2024-4040. 新增insighttidr和Rapid7 MDR客户部署检测规则和告警. 增加了Query Builder信息,以帮助InsightVM和expose客户识别其环境中的CrushFTP安装. 增加了到空中客车CERT的链接 概念验证代码.
2024年4月24日: 新增CVE-2024-4040 CISA KEV. InsightVM和expose客户现在可以使用漏洞检查. Rapid7对CVE-2024-4040的完整技术分析如下 现在在ackerkb中可用.
