Новости Старый баг – новые риски: после публикации эксплойта для дефекта в CrushFTP под угрозой 10 000 серверов

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Августовский патч оказался не самой надежной мерой.


xmy48n6useoh22l7l03feiqzsuaaygs1.jpg


В популярном ПО для защищенного обмена файлами, CrushFTP, обнаружен опасный баг, дающий злоумышленникам возможность получить полный контроль над уязвимым сервером.

На самом деле уязвимость Для просмотра ссылки Войди или Зарегистрируйся эксперты компании Converge обнаружили еще в августе. Разработчики CrushFTP оперативно исправили проблему в версии 10.5.2. Однако недавно Converge опубликовала технические детали и эксплойт дефекта, что сделало его ещё более опасным для необновленных систем.

Эксплуатация уязвимости возможна удаленно, без аутентификации. Злоумышленники посылают вредоносный трафик на порты 80, 443, 8080 или 9090, используя специальные HTTP-заголовки. Это позволяет перехватывать активные сессии администратора.

По оценкам Converge, около 10 000 серверов с установленным CrushFTP доступны из интернета и подвержены атакам. Компания призывает всех пользователей срочно установить патч и применить дополнительные меры защиты.

Детально описывая принцип работы уязвимости, исследователи отмечают, что злоумышленники используют недостатки в обработке заголовков AS2 для изменения свойств пользовательских сессий.

Это позволяет не только читать и удалять файлы на сервере, но и выполнить произвольный код, добиваясь полного контроля над системой.

Чтобы скрыться от инструментов обнаружения, хакеры манипулируют файлами с помощью функции drain_log(). А также применяют функцию sessions.obj для повышения привилегий.

Команда Converge Для просмотра ссылки Войди или Зарегистрируйся с подробной демонстрацией эксплойта.

К сожалению, по словам специалистов, установка патчей не гарантирует полную защиту от угроз. Хакеры прокачали свои методы для атак даже на обновленные системы.

Чтобы снизить риски, эксперты рекомендуют:

1. Обновить CrushFTP до последней версии.

2. Включить автоматическое обновление безопасности.

3. Изменить алгоритм пароля на Argon.

4. Провести аудит на наличие неавторизованных сессий.

5. Активировать новый режим Limited Server для укрепления защиты.

Учитывая появление рабочего эксплойта, атаки на уязвимые системы могут начаться в самое ближайшее время. Поэтому крайне важно принять меры как можно скорее.
 
Источник новости
www.securitylab.ru

Похожие темы