- Más de 9.600 hosts CrushFTP expuestos públicamente (virtuales y físicos) con interfaces web expuestas
Principales países afectados:
1. EE.UU.
2. Alemania
3. Canadá
4. REINO UNIDO
5. Países Bajos
Resumen
Censys es consciente de que el 19 de abril de 2024, CrushFTP informó a sus usuarios de que había descubierto y publicado un parche para una vulnerabilidad de día cero que permite a usuarios autenticados y no autenticados con privilegios bajos recuperar archivos del sistema que no forman parte de su sistema de archivos virtual (VFS) a través de la WebInterface. Este fallo afecta a todas las versiones de CrushFTP por debajo de la versión 11.1. El día cero está siendo explotado actualmente.
Descripción del activo
CrushFTP se describe a sí mismo como "transferencia de archivos de nivel empresarial para todo el mundo" que promociona ser capaz de funcionar en la mayoría de los sistemas operativos. FTP, o Protocolo de Transferencia de Archivos, está pensado para permitir a los usuarios transferir archivos de gran tamaño y/o de diversos tipos de forma rápida y segura. Esta vulnerabilidad específica afecta a CrushFTP WebInterface, una aplicación basada en navegador que se empareja con un servidor FTP.
Impacto
Consecuencias potenciales de una explotación exitosa
Esta vulnerabilidad podría permitir potencialmente a los usuarios escapar del sistema de archivos virtual (VFS) de CrushFTP y descargar archivos del sistema. Dado que las herramientas de transferencia de archivos se utilizan a menudo para transferir documentos y datos grandes y confidenciales, esta vulnerabilidad podría conceder a los usuarios internos con acceso no autorizado a archivos más allá de sus permisos o permitir a los atacantes descargar información confidencial. Este problema está siendo explotado de forma activa.
Activos afectados
Según CrushFTP, este problema afecta a todas las versiones de CrushFTP por debajo de la versión 11.1.
CensysElequipo de respuesta rápida de CrushFTP pudo identificar hosts que exponían una aplicación CrushFTP WebInterface. A continuación se muestran las consultas de hosts que ejecutan CrushFTP con WebInterfaces expuestas. Estos hosts están expuestos al público y han sido observados recientemente en nuestros escaneos.
Censys Nombre de riesgo ASM para dispositivos potencialmente vulnerables
"Interfaz Web CrushFTP expuesta"
La consulta anterior encontrará las CrushFTP WebInterfaces expuestas asociadas a su organización en su espacio de trabajo ASM en un plazo aproximado de 24 horas.
Censys Consulta ASM para activos expuestos.
Esta consulta se comparte para los clientes que desean refinar o alterar el versionado para operaciones personalizadas.
Censys Consultas de búsqueda
se comparten directamente con los clientes de Censys . Si desea obtener la consulta Censys para identificar instancias globales relacionadas con este problema, o necesita ayuda, póngase en contacto con nosotros.
Recomendaciones
Si necesita ayuda para identificar positivamente estos activos, háganoslo saber.
