Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Beratung

22. April 2024: CrushFTP Zero-Day-Schwachstelle ermöglicht nicht autorisierte Datei-Downloads CVE-2024-4040

Globale Auswirkungen (zum Zeitpunkt der Verbreitung)

- 9.600+ öffentlich zugängliche CrushFTP-Hosts (virtuell und physisch) mit zugänglichen WebInterfaces

Die am stärksten betroffenen Länder:
1. USA
2. Deutschland
3. Kanada
4. VEREINIGTES KÖNIGREICH
5. Niederlande


Zusammenfassung

Censys ist sich bewusst, dass CrushFTP am 19. April 2024 seine Benutzer darüber informiert hat, dass es einen Patch für eine Zero-Day-Schwachstelle entdeckt und veröffentlicht hat, die es nicht authentifizierten und authentifizierten Benutzern mit geringen Rechten ermöglicht, Systemdateien, die nicht Teil ihres virtuellen Dateisystems (VFS) sind, über das WebInterface abzurufen. Dieser Fehler betrifft alle Versionen von CrushFTP unterhalb von Version 11.1. Der Zero-Day wird derzeit in freier Wildbahn ausgenutzt.

Asset-Beschreibung
CrushFTP beschreibt sich selbst als "unternehmenstaugliche Dateiübertragung für jedermann" und wirbt damit, auf den meisten Betriebssystemen laufen zu können. FTP, oder File Transfer Protocol, soll es Benutzern ermöglichen, große und/oder unterschiedliche Dateitypen schnell und sicher zu übertragen. Diese spezielle Sicherheitslücke betrifft CrushFTP WebInterface, eine browserbasierte Anwendung, die mit einem FTP-Server gekoppelt ist.

Aufprall

Mögliche Folgen einer erfolgreichen Ausnutzung
Diese Sicherheitslücke könnte es Benutzern ermöglichen, das virtuelle Dateisystem (VFS) von CrushFTP zu umgehen und Systemdateien herunterzuladen. Da Dateiübertragungs-Tools häufig für die Übertragung großer, sensibler Dokumente und Daten verwendet werden, kann diese Schwachstelle internen Benutzern unbefugten Zugriff auf Dateien jenseits ihrer Berechtigungen gewähren oder Angreifern das Herunterladen sensibler Informationen ermöglichen. Dieses Problem wird derzeit aktiv ausgenutzt.

Betroffene Vermögenswerte

Nach Angaben von CrushFTP betrifft dieses Problem alle Versionen von CrushFTP unterhalb von Version 11.1.
CensysDasRapid Response Team war in der Lage, Hosts zuidentifizieren, auf denen eine CrushFTP WebInterface-Anwendung läuft. Nachfolgend finden Sie Abfragen für Hosts, auf denen CrushFTP mit exponierten WebInterfaces läuft. Diese Hosts sind öffentlich zugänglich und wurden kürzlich von unseren Scans beobachtet.

Censys ASM Risikobezeichnung für potenziell gefährdete Geräte

"Ausgesetzte CrushFTP WebInterface"
Die obige Abfrage findet innerhalb von ca. 24 Stunden exponierte CrushFTP-WebInterfaces, die mit Ihrer Organisation in Ihrem ASM-Arbeitsbereich verbunden sind.

Censys ASM-Abfrage für exponierte Assets.
Diese Abfrage wird für Kunden freigegeben, die die Versionierung für benutzerdefinierte Vorgänge verfeinern oder ändern möchten.

Censys Search Abfragen
werden direkt an die Kunden von Censys weitergegeben. Wenn Sie die Abfrage Censys erhalten möchten, um globale Instanzen im Zusammenhang mit diesem Problem zu identifizieren, oder wenn Sie Hilfe benötigen, kontaktieren Sie uns bitte.

Empfehlungen für die Behebung

Wenn Sie Hilfe bei der eindeutigen Identifizierung dieser Vermögenswerte benötigen, lassen Sie es uns bitte wissen.
Lösungen für das Management von Angriffsflächen
Mehr erfahren