Fecha de divulgación: 22 de octubre de 2024
CVE-2024-46483 es una vulnerabilidad de desbordamiento de enteros en la lógica de análisis de paquetes del servidor Xlight SFTP, que puede conducir a un desbordamiento de heap con contenido controlado por el atacante. La vulnerabilidad está actualmente a la espera de ser analizada por NVD, pero una prueba de concepto existente está disponible en GitHubaumentando la probabilidad de que observemos la explotación de esta vulnerabilidad.
Xlight FTP Server es un servidor FTP (File Transfer Protocol) ligero diseñado principalmente para plataformas Windows para el intercambio y la gestión centralizada de archivos. Normalmente, las empresas u organizaciones utilizan servidores FTP como Xlight para gestionar archivos de forma segura, automatizar copias de seguridad o facilitar el intercambio de datos entre departamentos.
Xlight FTP Server is accessible over the public internet, but typically requires specific configurations to ensure security. Exposed instances of Xlight FTP Server without proper safeguards can increase the risk of exploitation. Users of Xlight FTP Server versions <= 3.9.4.2 are urged to update to the latest version immediately. Note the following key distinction between the 32-bit and 64-bit versions of Xlight:
- Versiones de 32 bits: Los atacantes pueden sobrescribir estructuras de datos críticas en la pila, lo que podría conducir a la ejecución de código.
- Versiones de 64 bits: Aunque la ejecución de código es menos probable en sistemas de 64 bits, la vulnerabilidad sigue permitiendo caídas, lo que provoca una denegación de servicio.
Las organizaciones con instancias públicas del Servidor FTP Xlight deberían comprobar los indicadores de compromiso lo antes posible. Consulte las consultas de Censys que se proporcionan a continuación para realizar un seguimiento de las exposiciones. Se recomienda evitar la exposición de portales de administración de dispositivos de red en la Internet pública.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-46483 - CVSS 9.8 (Crítico) asignado por CISA-ADP |
| Descripción de la vulnerabilidad |
Vulnerabilidad de desbordamiento de enteros en la lógica de análisis de paquetes del servidor SFTP, que puede provocar un desbordamiento de heap con contenido controlado por el atacante. |
| Fecha de divulgación |
22 de octubre de 2024 |
| Activos afectados |
Servidor FTP Xlight - en particular la versión de 32 bits |
| Versiones de software vulnerables |
<3.9.4.3 |
| ¿PoC disponible? |
Sí, hay una PoC disponible en GitHub |
| Estado de explotación |
En el momento de escribir estas líneas, ni CISA ni Greynoise habían informado de la explotación activa de esta vulnerabilidad. |
| Estado del parche |
Se recomienda encarecidamente a los usuarios de las versiones 3.9.4.2 y anteriores de Xlight que actualicen a la última versión. última versión inmediatamente. El proveedor ha solucionado esta vulnerabilidad en versiones posteriores. |
Censys Perspectiva
En el momento de redactar este informe, Censys observaba 3,520 Servidores FTP Xlight expuestos en línea, con alrededor del 32% concentrado en China. Censys observó que alrededor del 9% de las instancias expuestas estaban asociadas con Alibaba Cloud (ASN 37963).
Aproximadamente la mitad de estos servidores expuestos estaban filtrando públicamente sus versiones, y descubrimos que el 45% de todas las exposiciones mostraban indicios de ejecutar una versión vulnerable (cualquiera por debajo de 3.9.4.3).
| ¿Vulnerable? |
Anfitriones |
Proporción del total |
| DESCONOCIDO |
1885 |
53.55% |
| FALSO |
40 |
1.14% |
| TRUE |
1595 |
45.31% |
| Total |
3520 |
100.00% |
Sólo observamos 40 servidores con versiones 3.9.4.3 o más recientes.
Mapa de instancias expuestas del Servidor FTP Xlight:
Para identificar todas las instancias del Servidor FTP Xlight expuestas en su red, independientemente de la versión, se pueden utilizar las siguientes consultas en Censys :
Censys Consulta de búsqueda:
services.ftp.banner:"Xlight" OR services.banner:"*xlight*ftp*" OR services.ssh.endpoint_id.raw:"*Xlight FTP*" OR services.banner:"*xlight*server"
Censys Consulta ASM:
host.services.ftp.banner:"Xlight" or host.services.banner:"*xlight*ftp*" or host.services.ssh.endpoint_id.raw:"*Xlight FTP*" or host.services.banner:"*xlight*server"
Referencias
