Resumen ejecutivo:
- El 19 de abril de 2024, CrushFTP parcheó CVE-2024-4040, una vulnerabilidad de escape del sistema de archivos virtual de día cero en su software WebInstance que está siendo explotada activamenteen la naturaleza.
- Si se explota con éxito, esta vulnerabilidad permitiría a un actor no autenticado acceder potencialmente a cualquier dato confidencial que un cliente administrara con el cliente FTP y lograr un compromiso total del sistema.
- A partir del 23 de abril de 2024, Censys observó casi 4.900 hosts que ejecutaban más de 5.700 instancias únicas de CrushFTP WebInterface expuestas en la Internet pública. Casi la mitad de ellos tienen su sede en Estados Unidos.
- Estos números siguen siendo en gran medida consistentes con los recuentos de host y servicio de las interfaces web de CrushFTP expuestas observadas hace una semana (16 de abril), lo que sugiere que las instancias se están remediando y dejando en línea, o es posible que aún no se tomen medidas más amplias en respuesta a esta vulnerabilidad.
- ¿Recuerdas nuestra investigación anterior sobre los anfitriones engañosos? Hemos observado aproximadamente 2.500 hosts en línea que muestran un favicon de CrushFTP WebInstance, pero carecen de signos de ejecutar realmente el software.
- El software para compartir archivos, especialmente las herramientas basadas en la web expuestas en la Internet pública, siguen siendo objetivos principales para los actores de amenazas dada la naturaleza a menudo confidencial de los datos que transfieren
- Censys Los clientes de Attack Surface Management pueden buscar en sus espacios de trabajo las instancias afectadas mediante esta consulta: risks.name: 'Interfaz web de CrushFTP expuesta
- Consulte nuestro aviso oficial de respuesta rápida para obtener más contexto
Fondo
El 19 de abril de 2024, los desarrolladores de la herramienta de transferencia de archivos CrushFTP parchearon una vulnerabilidad de día cero en su software WebInterface, rastreada como CVE-2024-4040. La vulnerabilidad, descubierta por el ingeniero de seguridad de Airbus, Simon Garrelou, es una falla de escape de la máquina virtual que podría permitir a un usuario no autenticado salir del sistema de archivos virtual (VFS) de CrushFTP y acceder a los archivos del sistema. Cuando se informó, la vulnerabilidad afectaba a todas las versiones conocidas de CrushFTP. El problema ahora está parcheado en la versión 10.7.1 para las versiones v10 y 11.1.0 para las versiones v11.
Fuentes de CrowdStrike han detectado casos de intento de este exploit en la naturaleza. A esta vulnerabilidad no se le asignó un identificador CVE hasta 4 días después, el 22 de abril, con una puntuación CVSS de 7,7 (gravedad "alta"). Es probable que este retraso se deba a los continuos desafíos a los que se enfrenta el NIST en el procesamiento de su creciente acumulación de CVE.
CrushFTP es una herramienta de transferencia de archivos de "nivel empresarial" que admite FTP, o Protocolo de transferencia de archivos, así como sus variantes más seguras (SFTP, FTPS). FTP es un protocolo de red estándar ampliamente utilizado para transferir archivos digitales entre hosts. Un cliente FTP sirve como interfaz de usuario para conectarse a servidores FTP remotos y administrar archivos. Si bien los primeros clientes FTP eran simples programas de línea de comandos, desde entonces han evolucionado para incluir aplicaciones basadas en la web, lo que permite a los usuarios acceder a la funcionalidad FTP directamente desde un navegador web. Estas herramientas han ganado popularidad debido a sus interfaces más fáciles de usar. Sin embargo, la integración de cualquier interfaz basada en web con otros servicios puede ampliar potencialmente la superficie de ataque de un sistema. Cualquier vulnerabilidad o debilidad de autenticación dentro de estos componentes basados en la web puede explotarse para comprometer los sistemas adyacentes o los servicios subyacentes, como se demostró en este caso con la interfaz web de CrushFTP.
Dados los datos potencialmente confidenciales con los que a menudo interactúan, las herramientas para compartir archivos siguen siendo un objetivo atractivo para los actores maliciosos.
Confusión de avisos
Si bien es encomiable que CrushFTP haya parcheado rápidamente el problema después de que se reveló, este es uno de los avisos de seguridad más confusos que hemos visto. Hay múltiples inconsistencias entre las páginas wiki destinadas a los clientes que ejecutan la versión 10 en comparación con las que usan la versión 11, y ambas parecen haber sufrido ediciones en la información clave de forma independiente entre sí.
Desde el momento de la divulgación, la página wiki v10 ha declarado que los clientes que utilizan una DMZ frente a sus instancias de CrushFTP estaban a salvo de esta vulnerabilidad.
La página "Crush10wiki", actualizada por última vez el 19 de abril
La página v11, sin embargo, ha estado reflejando información ligeramente diferente, afirmando que la DMZ solo "más o menos" proporciona seguridad:
La página "Crush11wiki" antes del 22 de abril
Al día siguiente, la misma página v11 decía:
La página "Crush11wiki" después de las ediciones realizadas el 22 de abril
A partir de la mañana del martes 23 de abril, la página v10 todavía muestra la siguiente información, aparentemente obsoleta, en la parte superior:
Con respecto a 10.7.1 y el exploit CrushFTP que permite el acceso a los archivos del sistema, el uso de una DMZ frente a su CrushFTP principal lo habría protegido en este escenario.
Hay otras declaraciones peculiares aquí que son menos que útiles. Como muestran las capturas de pantalla anteriores, una viñeta en las preguntas frecuentes dice:
“Can you tell me how I can check if I have been exploited? Not really..the nature of this was common words that could be in your log already. So there is no silver bullet search term to check for. Looking for “<INCLUDE” is an indicator.”
Revisar sus registros siempre es un buen primer paso, pero el tono vacilante en esta respuesta no inspira mucha confianza.
CensysPerspectiva
El 23 de abril de 2024, Censys se observaron 4.899 hosts que ejecutaban 5.704* instancias únicas de CrushFTP WebInterface. Poco menos de la mitad de estos servicios están alojados en los Estados Unidos.
Mapa de la Censys-Servicios visibles de interfaz web CrushFTP expuestos el 23 de abril de 2024
Esto es comparable a los niveles de exposición observados hace una semana, el 16 de abril de 2024, con fluctuaciones menores de alrededor de 50 a 60 casos. Censys no tiene visibilidad de las versiones del software CrushFTP en uso, por lo que podría haber varios escenarios desarrollándose aquí. Teniendo en cuenta lo recientemente que se lanzaron los parches, es probable que aún no se hayan implementado ampliamente, aunque esto es especulativo.
* Estos números tienen en cuenta tanto los hosts virtuales como los físicos, con duplicados eliminados para no inflar artificialmente el estado de exposición. Puede haber variaciones en comparación con las cifras reportadas directamente en Censys Resultados de la búsqueda.
Más de 2,750 de las exposiciones a CrushFTP se observan dentro de los Estados Unidos, lo que representa casi la mitad de todas las exposiciones que vemos.
Como era de esperar, las redes en la nube surgen como una opción popular para alojar estos servicios. Actualmente, casi el 18% de todos los servicios de interfaz web expuestos están alojados en plataformas como Microsoft Cloud, Amazon AWS o Google Cloud. También se espera que encontremos algunos proveedores de servicios de Internet como Comcast y UUNET en esta mezcla. Es probable que esto sea un reflejo de las pequeñas empresas y los consumidores que utilizan este software. La presencia de Hetzner y OVH, dos de los principales proveedores de alojamiento y centros de datos, no es sorprendente, teniendo en cuenta que las herramientas FTP se utilizan comúnmente con fines de alojamiento web.
Anfitriones engañosos
A partir del 23 de abril de 2024, Censys identificó alrededor de 2.500 hosts en nuestro conjunto de datos que devolvían favicons de CrushFTP WebInstance, pero sin evidencia de que realmente se ejecutara el software. Estos hosts se basaban exclusivamente en AMAZON-02 o AMAZON-AES. Estos hallazgos reflejan nuestras observaciones anteriores sobre los "huéspedes engañosos".
Muchos marcos de detección de software de código abierto utilizan hashes de favicon únicos para identificar productos de software específicos. La regla de CrushFTP en cuestión que se activó en estos hosts engañosos comprueba si hay un favicon con un hash md5 de '297a81069094d00a052733d3a0537d18', tal y como se define en la base de datos Recog de rapid7.
Estos hosts engañosos suelen activar muchas de estas reglas de detección de software, y es probable que sean intencionadas. Teniendo en cuenta que muchos de los productos de software que hemos observado que emulan están vinculados con vulnerabilidades de seguridad críticas recientes, es probable que este comportamiento esté dirigido a los escáneres de vulnerabilidades y a los escáneres de Internet. En un caso, encontramos un host que presentaba tanto un favicon de CrushFTP como un artefacto PAN-OS GlobalProtect en el cuerpo de la respuesta HTTP. En otros casos, algunos de estos hosts presentaban un título HTML de Ivanti Connect Secure. Tanto PAN-OS GlobalProtect como Ivanti Connect Secure se han asociado con vulnerabilidades significativas en los últimos meses.
Seamos claros: esto es muy inusual. Crear un favicon para imitar otro producto o servicio requiere esfuerzo: debe obtener la imagen y luego asegurarse de que su servidor web la muestre correctamente. Si bien es demasiado pronto para sacar conclusiones definitivas sobre las intenciones de estos anfitriones, está claro que quienquiera que esté detrás de ellos no es un aficionado.
Como aviso, puedes excluir estos hosts de tu archivo Censys Resultados de la búsqueda añadiendo and not services.labels=”tarpit” a su consulta.
¿Qué se puede hacer?
- Actualice sus instancias de CrushFTP lo antes posible si aún no lo ha hecho. Estas son las instrucciones sobre cómo hacerlo para v10 y v11.
- Tenga en cuenta que las sugerencias iniciales de que el uso de una DMZ protegería su instancia de CrushFTP de esta vulnerabilidad no son del todo precisas. Se recomienda actualizar las versiones de software para mitigar eficazmente esta vulnerabilidad.
Referencias:
