Zum Inhalt springen
Neues Ebook: Holen Sie sich noch heute Ihr Exemplar des Handbuchs Unleash the Power of Censys Search ! | Jetzt herunterladen
Beratung

30. Oktober Hinweis: Xlight FTP Server Schwachstelle [CVE-2024-46483]

Datum der Offenlegung: 22. Oktober 2024

CVE-2024-46483 ist eine Integer-Überlauf-Schwachstelle in der Paket-Parsing-Logik des Xlight SFTP-Servers, die zu einem Heap-Überlauf mit vom Angreifer kontrolliertem Inhalt führen kann. Die Schwachstelle muss noch von NVD analysiert werden, aber ein vorhandenes Proof-of-Concept ist verfügbar auf GitHubverfügbar, was die Wahrscheinlichkeit erhöht, dass diese Schwachstelle ausgenutzt werden kann.

Xlight FTP Server ist ein leichtgewichtiger FTP (File Transfer Protocol)-Server, der hauptsächlich für Windows-Plattformen entwickelt wurde, um Dateien zentral zu verwalten und auszutauschen. Typischerweise verwenden Unternehmen oder Organisationen FTP-Server wie Xlight, um Dateien sicher zu verwalten, Backups zu automatisieren oder den Datenaustausch zwischen Abteilungen zu erleichtern.

Xlight FTP Server is accessible over the public internet, but typically requires specific configurations to ensure security. Exposed instances of Xlight FTP Server without proper safeguards can increase the risk of exploitation. Users of Xlight FTP Server versions <= 3.9.4.2 are urged to update to the latest version immediately. Note the following key distinction between the 32-bit and 64-bit versions of Xlight:

  • 32-Bit-Versionen: Angreifer können kritische Datenstrukturen auf dem Heap überschreiben, was möglicherweise zur Codeausführung führt.
  • 64-Bit-Versionen: Auf 64-Bit-Systemen ist die Wahrscheinlichkeit der Codeausführung zwar geringer, aber die Schwachstelle kann immer noch zu Abstürzen und damit zu einer Dienstverweigerung führen.

Organisationen mit öffentlich zugänglichen Xlight FTP Server-Instanzen sollten so schnell wie möglich auf Anzeichen einer Gefährdung prüfen. Die unten aufgeführten Censys Abfragen helfen bei der Verfolgung von Gefährdungen. Es wird empfohlen, die Offenlegung von Administrationsportalen für Netzwerkgeräte im öffentlichen Internet zu vermeiden.

Feld Einzelheiten
CVE-ID CVE-2024-46483 - CVSS 9.8 (Kritisch) zugewiesen von CISA-ADP
Schwachstelle Beschreibung Integer-Überlauf-Schwachstelle in der Paket-Parsing-Logik des SFTP-Servers, die zu einem Heap-Überlauf mit vom Angreifer kontrolliertem Inhalt führen kann.
Datum der Offenlegung 22. Oktober 2024
Betroffene Vermögenswerte Xlight FTP Server - insbesondere die 32-Bit-Version
Anfällige Software-Versionen  <3.9.4.3
PoC verfügbar? Ja, ein PoC ist verfügbar auf GitHub
Verwertungsstatus Zum Zeitpunkt der Erstellung dieses Berichts wurde die aktive Ausnutzung dieser Sicherheitslücke weder von CISA noch von Greynoise gemeldet. 
Patch-Status Benutzer von Xlight-Versionen 3.9.4.2 und früher werden dringend gebeten, auf die neueste Version sofort zu aktualisieren. Der Hersteller hat diese Sicherheitslücke in späteren Versionen behoben.

Censys Blickwinkel

Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 3,520 exponierte Xlight-FTP-Server online, davon etwa 32 % in China. Censys beobachtete, dass etwa 9 % der exponierten Instanzen mit der Alibaba Cloud (ASN 37963) verbunden sind.

Ungefähr die Hälfte dieser aufgedeckten Server gaben ihre Versionen öffentlich preis, und wir entdeckten, dass 45 % aller aufgedeckten Server wiesen Anzeichen für eine anfällige Version auf (alles unter 3.9.4.3).

Verwundbar? Hosts Anteil an Gesamt
UNBEKANNT 1885 53.55%
FALSCH 40 1.14%
WAHR 1595 45.31%
Insgesamt 3520 100.00%

Wir haben nur 40 Server mit der Version 3.9.4.3 oder neuer beobachtet.

Karte der offenen Xlight FTP Server Instanzen:

Um alle exponierten Xlight FTP Server Instanzen in Ihrem Netzwerk unabhängig von der Version zu identifizieren, können die folgenden Censys Abfragen verwendet werden:

Censys Search Abfrage:

services.ftp.banner:"Xlight" OR services.banner:"*xlight*ftp*"  OR services.ssh.endpoint_id.raw:"*Xlight FTP*" OR services.banner:"*xlight*server"

Censys ASM-Abfrage:

host.services.ftp.banner:"Xlight" or host.services.banner:"*xlight*ftp*" or  host.services.ssh.endpoint_id.raw:"*Xlight FTP*" or host.services.banner:"*xlight*server"

Referenzen

Lösungen für das Management von Angriffsflächen
Mehr erfahren