Zusammenfassung:
- Am 19. April 2024 hat CrushFTP CVE-2024-4040 gepatcht, eine Zero-Day-Schwachstelle in seiner WebInstance-Software, die aktiv ausgenutztwird.
- Wenn diese Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, kann ein nicht authentifizierter Akteur potenziell auf alle vertraulichen Daten zugreifen, die ein Kunde mit dem FTP-Client verwaltet hat, und das System vollständig kompromittieren.
- Ab dem 23. April 2024 Censys beobachtete fast 4.900 Hosts , auf denen über 5.700 einzigartige CrushFTP-WebInterface-Instanzen laufen, die im öffentlichen Internet verfügbar sind. Fast die Hälfte davon hat ihren Sitz in den USA.
- Diese Zahlen stimmen weitgehend mit der Anzahl der Hosts und Dienste von CrushFTP WebInterfaces überein, die vor einer Woche (16. April) beobachtet wurden, was darauf hindeutet, dass entweder Instanzen behoben und online gelassen werden oder dass möglicherweise noch keine umfassenderen Maßnahmen als Reaktion auf diese Schwachstelle ergriffen wurden.
- Erinnern Sie sich an unsere früheren Forschungen über betrügerische Hosts? Wir haben ungefähr 2.500 Hosts online beobachtet, die alle ein CrushFTP WebInstance-Favicon anzeigen, aber keine Anzeichen dafür haben, dass die Software wirklich ausgeführt wird.
- File-Sharing-Software, insbesondere webbasierte Tools, die im öffentlichen Internet verfügbar sind, sind aufgrund der oft sensiblen Natur der von ihnen übertragenen Daten nach wie vor Hauptziele für Bedrohungsakteure
- Censys Kunden von Attack Surface Management können ihre Arbeitsbereiche mithilfe der folgenden Abfrage nach betroffenen Instanzen durchsuchen: risks.name: "Exposed CrushFTP WebInterface
- Weitere Informationen finden Sie in unserem offiziellen Rapid Response Advisory
Hintergrund
Am 19. April 2024 haben die Entwickler des Dateiübertragungstools CrushFTP eine Zero-Day-Schwachstelle in ihrer WebInterface-Software gepatcht, die als CVE-2024-4040 verfolgt wird. Bei der Schwachstelle, die von Airbus-Sicherheitsingenieur Simon Garrelou entdeckt wurde, handelt es sich um eine Escape-Schwachstelle für virtuelle Maschinen, die es einem nicht authentifizierten Benutzer ermöglichen könnte, aus dem virtuellen Dateisystem (VFS) von CrushFTP auszubrechen und auf Systemdateien zuzugreifen. Als die Schwachstelle gemeldet wurde, betraf sie alle bekannten Versionen von CrushFTP. Das Problem wurde jetzt in Version 10.7.1 für v10-Versionen und 11.1.0 für v11-Versionen behoben.
Quellen bei CrowdStrike haben Fälle entdeckt, in denen dieser Exploit in freier Wildbahn versucht wurde. Dieser Schwachstelle wurde erst 4 Tage später, am 22. April, eine CVE-Kennung mit einem CVSS-Score von 7,7 ("Hoch" Schweregrad) zugewiesen. Diese Verzögerung ist wahrscheinlich auf die anhaltenden Herausforderungen zurückzuführen, mit denen das NIST bei der Bearbeitung seines wachsenden Rückstands an CVEs konfrontiert ist.
CrushFTP ist ein Dateiübertragungstool der Enterprise-Klasse, das FTP (File Transfer Protocol) sowie seine sichereren Varianten (SFTP, FTPS) unterstützt. FTP ist ein Standard-Netzwerkprotokoll, das häufig verwendet wird, um digitale Dateien zwischen Hosts zu übertragen. Ein FTP-Client dient als Benutzeroberfläche für die Verbindung mit entfernten FTP-Servern und die Verwaltung von Dateien. Während die ersten FTP-Clients einfache Befehlszeilenprogramme waren, haben sie sich seitdem weiterentwickelt und umfassen webbasierte Anwendungen, die es Benutzern ermöglichen, direkt über einen Webbrowser auf FTP-Funktionen zuzugreifen. Diese Tools haben aufgrund ihrer benutzerfreundlicheren Oberflächen an Popularität gewonnen. Die Integration einer webbasierten Schnittstelle in andere Dienste kann jedoch die Angriffsfläche eines Systems potenziell erweitern. Alle Schwachstellen oder Authentifizierungsschwächen innerhalb dieser webbasierten Komponenten können ausgenutzt werden, um benachbarte Systeme oder zugrunde liegende Dienste zu kompromittieren – wie in diesem Fall mit dem Webinterface von CrushFTP demonstriert.
Angesichts der potenziell sensiblen Daten, mit denen sie häufig interagieren, sind Filesharing-Tools nach wie vor ein attraktives Ziel für böswillige Akteure.
Verwirrung bei der Beratung
Es ist zwar lobenswert, dass CrushFTP das Problem sofort gepatcht hat, nachdem es bekannt wurde, aber dies ist eine der verwirrendsten Sicherheitshinweise, die wir gesehen haben. Es gibt mehrere Inkonsistenzen zwischen den Wiki-Seiten, die für Kunden gedacht sind, die Version 10 verwenden, im Vergleich zu denen, die Version 11 verwenden, und beide scheinen unabhängig voneinander Änderungen an wichtigen Informationen vorgenommen worden zu sein.
Seit dem Zeitpunkt der Veröffentlichung hat die v10-Wiki-Seite angegeben, dass Kunden, die eine DMZ vor ihren CrushFTP-Instanzen verwenden, vor dieser Schwachstelle sicher sind.
Die "Crush10wiki"-Seite, zuletzt aktualisiert am 19. April
Die v11-Seite hat jedoch etwas andere Informationen wiedergegeben und besagt, dass die DMZ nur "irgendwie" Sicherheit bietet:
Die "Crush11wiki"-Seite vor dem 22. April
Am nächsten Tag lautete die gleiche v11-Seite:
Die "Crush11wiki"-Seite nach den Bearbeitungen am 22. April
Am Dienstagmorgen, den 23. April, zeigt die v10-Seite immer noch die folgenden, anscheinend veralteten Informationen oben an:
In Bezug auf 10.7.1 und den CrushFTP-Exploit, der den Zugriff auf Systemdateien ermöglicht, hätte die Verwendung einer DMZ vor Ihrem Haupt-CrushFTP Sie in diesem Szenario geschützt.
Es gibt hier noch andere merkwürdige Aussagen, die alles andere als hilfreich sind. Wie die obigen Screenshots zeigen, lautet ein Aufzählungspunkt in den FAQ:
“Can you tell me how I can check if I have been exploited? Not really..the nature of this was common words that could be in your log already. So there is no silver bullet search term to check for. Looking for “<INCLUDE” is an indicator.”
Die Überprüfung Ihrer Protokolle ist immer ein guter erster Schritt, aber der zögerliche Ton in dieser Antwort erweckt nicht viel Vertrauen.
CensysDie Perspektive
Am 23. April 2024 Censys beobachtete 4.899 Hosts, auf denen 5.704* eindeutige CrushFTP-WebInterface-Instanzen ausgeführt werden. Knapp die Hälfte dieser Dienste wird in den USA gehostet.
Landkarte der Welt Censys-sichtbare Exponierte CrushFTP-WebInterface-Dienste am 23. April 2024
Dies ist vergleichbar mit der Exposition, die vor einer Woche am 16. April 2024 beobachtet wurde, mit geringen Schwankungen von etwa 50 bis 60 Fällen. Censys hat keinen Einblick in die verwendeten Versionen der CrushFTP-Software, so dass sich hier verschiedene Szenarien abspielen können. Wenn man bedenkt, wie kürzlich die Patches veröffentlicht wurden, ist es wahrscheinlich, dass sie noch nicht weit verbreitet sind, obwohl dies spekulativ ist.
*Diese Zahlen beziehen sich sowohl auf virtuelle als auch auf physische Hosts, wobei Duplikate entfernt wurden, um den Zustand der Exposition nicht künstlich aufzublähen. Es kann zu Abweichungen im Vergleich zu den Zahlen kommen, die direkt in Censys Search Befund.
Über 2.750 der CrushFTP-Expositionen werden in den Vereinigten Staaten beobachtet, was fast die Hälfte aller Expositionen ausmacht, die wir sehen.
Wie erwartet, erweisen sich Cloud-Netzwerke als beliebte Wahl für das Hosting dieser Dienste. Derzeit werden fast 18 % aller exponierten Webinterface-Dienste auf Plattformen wie Microsoft Cloud, Amazon AWS oder Google Cloud gehostet. Es wird auch erwartet, dass wir einige Internetdienstanbieter wie Comcast und UUNET in diesem Mix finden. Dies ist wahrscheinlich ein Spiegelbild von kleinen Unternehmen und Verbrauchern, die diese Software verwenden. Die Präsenz von Hetzner und OVH, zwei großen Hosting- und Rechenzentrumsanbietern, ist nicht überraschend, wenn man bedenkt, dass FTP-Tools häufig für Webhosting-Zwecke eingesetzt werden.
Betrügerische Gastgeber
Ab dem 23. April 2024 Censys Wir identifizierten etwa 2.500 Hosts in unserem Datensatz, die CrushFTP WebInstance-Favicons zurückgaben, aber ohne Beweise dafür, dass die Software tatsächlich ausgeführt wurde. Diese Hosts waren ausschließlich in AMAZON-02 oder AMAZON-AES ansässig. Diese Ergebnisse spiegeln unsere früheren Beobachtungen über "trügerische Wirte" wider.
Viele Open-Source-Softwareerkennungs-Frameworks verwenden eindeutige Favicon-Hashes, um bestimmte Softwareprodukte zu identifizieren. Die fragliche CrushFTP-Regel, die auf diesen betrügerischen Hosts ausgelöst wurde, sucht nach einem Favicon mit einem md5-Hash von '297a81069094d00a052733d3a0537d18', wie in der Recog-Datenbank von rapid7 definiert.
Diese betrügerischen Hosts lösen in der Regel viele dieser Software-Erkennungsregeln aus – und das ist wahrscheinlich beabsichtigt. In Anbetracht der Tatsache, dass viele der Softwareprodukte, die wir bei der Emulation beobachtet haben, mit aktuellen kritischen Sicherheitslücken verknüpft sind, zielt dieses Verhalten wahrscheinlich auf Schwachstellenscanner und Internetscanner ab. In einem Fall haben wir einen Host gefunden, der sowohl ein CrushFTP-Favicon als auch ein PAN-OS GlobalProtect-Artefakt im HTTP-Antworttext präsentiert. In anderen Fällen präsentierten einige dieser Hosts einen Ivanti Connect Secure HTML-Titel. Sowohl PAN-OS GlobalProtect als auch Ivanti Connect Secure wurden in den letzten Monaten mit erheblichen Sicherheitslücken in Verbindung gebracht.
Um es klar zu sagen: Das ist höchst ungewöhnlich. Die Erstellung eines Favicons, um ein anderes Produkt oder eine andere Dienstleistung zu imitieren, erfordert Mühe – Sie müssen das Bild erhalten und dann sicherstellen, dass es von Ihrem Webserver korrekt angezeigt wird. Es ist zwar noch zu früh, um endgültige Schlussfolgerungen über die Absichten dieser Gastgeber zu ziehen, aber es ist klar, dass derjenige, der dahinter steckt, kein Amateur ist.
Als Vorwarnung können Sie diese Hosts von Ihrem Censys Search Ergebnisse durch Addition von and not services.labels=”tarpit”
zu Ihrer Abfrage.
Was kann getan werden?
- Aktualisieren Sie Ihre CrushFTP-Instanzen so schnell wie möglich, falls Sie dies noch nicht getan haben. Hier finden Sie eine Anleitung, wie Sie dies für v10 und v11 tun können.
- Bitte beachten Sie, dass die anfänglichen Vorschläge, dass die Verwendung einer DMZ Ihre CrushFTP-Instanz vor dieser Schwachstelle schützen würde, nicht ganz korrekt sind. Es wird empfohlen, Ihre Softwareversionen zu aktualisieren, um diese Sicherheitsanfälligkeit effektiv zu beheben.
Referenzen: