Shadowserver сообщает (об очередной атаке на цепочку мудаков), что более 1400 серверов CrushFTP остаются уязвимы для атак (из 5232 открытых в Интернете, по данным Shodan), нацеленных на ошибку внедрения шаблонов на стороне сервера (SSTI) критической серьезности, ранее использовавшуюся в качестве 0-day.

Поставщик описывает CVE-2024-4040 как выход из «песочницы» VFS в своем ПО для управляемой передачи файлов, приводящий к произвольному чтению файлов.

Но на деле же неаутентифицированные злоумышленники могут использовать ее для реализации RCE в непропатченных системах.

В пятницу компания предупредила клиентов о необходимости немедленного обновления, но воз и ныне там.

Тем временем Rapid7 подтвердила серьезность уязвимости, заявив, что она полностью не аутентифицирована и может быть проэксплутирована без особых трудностей.

Успешная эксплуатация позволяет не только читать произвольный файл от имени пользователя root, но также обходить аутентификацию для доступа к учетной записи администратора и полностью удаленно выполнять код.

В свою очередь, CrowdStrike выкатил отчет с раскрытием реальных атак на ряд организации в США с целью кибершпионажа.

Будем следить.

SecAtor

Shadowserver сообщает (об очередной атаке на цепочку мудаков), что более 1400 серверов CrushFTP остаются уязвимы для атак (из 5232 открытых в Интернете, по данным Shodan), нацеленных на ошибку внедрения шаблонов на стороне сервера (SSTI) критической серьезности, ранее использовавшуюся в качестве 0-day.

Поставщик описывает CVE-2024-4040 как выход из «песочницы» VFS в своем ПО для управляемой передачи файлов, приводящий к произвольному чтению файлов.

Но на деле же неаутентифицированные злоумышленники могут использовать ее для реализации RCE в непропатченных системах.

В пятницу компания предупредила клиентов о необходимости немедленного обновления, но воз и ныне там.

Тем временем Rapid7 подтвердила серьезность уязвимости, заявив, что она полностью не аутентифицирована и может быть проэксплутирована без особых трудностей.

Успешная эксплуатация позволяет не только читать произвольный файл от имени пользователя root, но также обходить аутентификацию для доступа к учетной записи администратора и полностью удаленно выполнять код.

В свою очередь, CrowdStrike выкатил отчет с раскрытием реальных атак на ряд организации в США с целью кибершпионажа.

Будем следить.

X (formerly Twitter)

The Shadowserver Foundation (@Shadowserver) on X

We are now sharing CrushFTP CVE-2024-4040 (CrushFTP VFS Sandbox Escape Vulnerability) vulnerable instances. At least 1400 vulnerable on 2024-04-24. CVE-2024-4040 is currently exploited in the wild & on @CISACyber KEV.

Top affected: US, Germany, Canada

…

hottg.com/true_secator/5682

11.8K viewsApr 26 at 13:38