Résumé :
- Le 19 avril 2024, CrushFTP a corrigé CVE-2024-4040, une vulnérabilité d’échappement de système de fichiers virtuel zero-day dans son logiciel WebInstance qui fait l’objet d’une exploitation activedans la nature.
- Si elle réussissait à être exploitée, cette vulnérabilité permettrait à un acteur non authentifié d’accéder potentiellement à toutes les données sensibles qu’un client gérait avec le client FTP et de compromettre complètement le système.
- En date du 23 avril 2024, Censys a observé près de 4 900 hôtes exécutant plus de 5 700 instances uniques de l’interface Web CrushFTP exposées sur l’Internet public. Près de la moitié d’entre eux sont basés aux États-Unis.
- Ces chiffres restent largement cohérents avec le nombre d’hôtes et de services d’interfaces Web CrushFTP exposées observé il y a une semaine (16 avril), ce qui suggère que soit les instances sont corrigées et laissées en ligne, soit qu’il n’y a peut-être pas encore d’action plus large prise en réponse à cette vulnérabilité.
- Vous vous souvenez de nos recherches antérieures sur les hôtes trompeurs ? Nous avons observé environ 2 500 hôtes en ligne qui affichent tous un favicon CrushFTP WebInstance, mais qui n’ont aucun signe d’exécution réelle du logiciel.
- Les logiciels de partage de fichiers, en particulier les outils Web exposés sur l’Internet public, restent des cibles de choix pour les auteurs de menace en raison de la nature souvent sensible des données qu’ils transfèrent
- Censys Les clients de Gestion de la surface d’attaque peuvent rechercher les instances affectées dans leurs espaces de travail à l’aide de la requête suivante : risks.name : « Exposed CrushFTP WebInterface
- Consultez notre avis officiel d’intervention rapide pour plus de contexte
Contexte
Le 19 avril 2024, les développeurs de l’outil de transfert de fichiers CrushFTP ont corrigé une vulnérabilité zero-day dans son logiciel WebInterface, suivie sous le nom de CVE-2024-4040. La vulnérabilité, découverte par Simon Garrelou, ingénieur en sécurité chez Airbus, est une faille d’échappement de machine virtuelle qui pourrait permettre à un utilisateur non authentifié de s’échapper du système de fichiers virtuel (VFS) de CrushFTP et d’accéder aux fichiers système. Lorsqu’elle a été signalée, la vulnérabilité a affecté toutes les versions connues de CrushFTP. Le problème est désormais corrigé dans la version 10.7.1 pour les versions v10 et 11.1.0 pour les versions v11.
Des sources de CrowdStrike ont détecté des cas de tentative de cet exploit dans la nature. Cette vulnérabilité n’a reçu un identifiant CVE que 4 jours plus tard, le 22 avril, avec un score CVSS de 7,7 (gravité « élevée »). Ce retard est probablement dû aux défis continus auxquels le NIST est confronté dans le traitement de son arriéré croissant de CVE.
CrushFTP est un outil de transfert de fichiers de niveau entreprise qui prend en charge le protocole FTP, ou File Transfer Protocol, ainsi que ses variantes plus sécurisées (SFTP, FTPS). FTP est un protocole réseau standard largement utilisé pour transférer des fichiers numériques entre hôtes. Un client FTP sert d’interface utilisateur pour se connecter à des serveurs FTP distants et gérer des fichiers. Alors que les premiers clients FTP étaient de simples programmes en ligne de commande, ils ont depuis évolué pour inclure des applications Web, permettant aux utilisateurs d’accéder aux fonctionnalités FTP directement à partir d’un navigateur Web. Ces outils ont gagné en popularité en raison de leurs interfaces plus conviviales. Cependant, l’intégration d’une interface Web avec d’autres services peut potentiellement étendre la surface d’attaque d’un système. Toute vulnérabilité ou faiblesse d’authentification au sein de ces composants Web peut être exploitée pour compromettre les systèmes adjacents ou les services sous-jacents, comme cela a été démontré dans ce cas avec l’interface Web de CrushFTP.
Compte tenu des données potentiellement sensibles avec lesquelles ils interagissent souvent, les outils de partage de fichiers continuent d’être une cible attrayante pour les acteurs malveillants.
Confusion dans les avis
Bien qu’il soit louable que CrushFTP ait rapidement corrigé le problème après sa divulgation, il s’agit de l’un des avis de sécurité les plus déroutants que nous ayons vus. Il y a de multiples incohérences entre les pages wiki destinées aux clients utilisant la version 10 par rapport à celles utilisant la version 11, et les deux semblent avoir subi des modifications d’informations clés indépendamment l’une de l’autre.
Depuis le moment de la divulgation, la page wiki v10 a déclaré que les clients utilisant une DMZ devant leurs instances CrushFTP étaient à l’abri de cette vulnérabilité.
La page « Crush10wiki », mise à jour le 19 avril
La page v11, cependant, a reflété des informations légèrement différentes, indiquant que la DMZ n’offre que « en quelque sorte » la sécurité :
La page « Crush11wiki » avant le 22 avril
Le lendemain, la même page v11 se lisait comme suit :
La page « Crush11wiki » après les modifications effectuées le 22 avril
Au matin du mardi 23 avril, la page v10 affiche toujours les informations suivantes, apparemment obsolètes, en haut :
En ce qui concerne la version 10.7.1 et l’exploit CrushFTP permettant l’accès aux fichiers système, l’utilisation d’une DMZ devant votre CrushFTP principal vous aurait protégé dans ce scénario.
Il y a d’autres déclarations étranges ici qui ne sont pas très utiles. Comme le montrent les captures d’écran ci-dessus, une puce sur la FAQ se lit comme suit :
“Can you tell me how I can check if I have been exploited? Not really..the nature of this was common words that could be in your log already. So there is no silver bullet search term to check for. Looking for “<INCLUDE” is an indicator.”
La vérification de vos journaux est toujours une bonne première étape, mais le ton hésitant de cette réponse n’inspire pas beaucoup de confiance.
CensysLe point de vue de la Commission
Le 23 avril 2024, Censys observé 4 899 hôtes exécutant 5 704* instances uniques de l’interface Web CrushFTP. Un peu moins de la moitié de ces services sont hébergés aux États-Unis.
Carte de l’ensemble Censys-visible Exposed CrushFTP WebInterface services le 23 avril 2024
C’est comparable aux niveaux d’exposition observés il y a une semaine, le 16 avril 2024, avec des fluctuations mineures de l’ordre de 50 à 60 cas. Censys n’a pas de visibilité sur les versions du logiciel CrushFTP utilisées, il pourrait donc y avoir différents scénarios qui se déroulent ici. Compte tenu de la date à laquelle les correctifs ont été publiés, il est probable qu’ils n’aient pas encore été déployés à grande échelle, bien que cela soit spéculatif.
*Ces chiffres tiennent compte à la fois des hôtes virtuels et physiques, les doublons étant supprimés afin de ne pas gonfler artificiellement l’état d’exposition. Il peut y avoir des variations par rapport aux chiffres Censys Résultats de la recherche.
Plus de 2 750 des expositions CrushFTP sont observées aux États-Unis, ce qui représente près de la moitié de toutes les expositions que nous observons.
Comme on pouvait s’y attendre, les réseaux cloud apparaissent comme un choix populaire pour l’hébergement de ces services. À l’heure actuelle, près de 18 % de tous les services d’interface Web exposés sont hébergés sur des plateformes telles que Microsoft Cloud, Amazon AWS ou Google Cloud. On s’attend également à ce que nous trouvions certains fournisseurs de services Internet comme Comcast et UUNET dans ce mélange. Cela est probablement dû au fait que les petites entreprises et les consommateurs utilisent ce logiciel. La présence de Hetzner et d’OVH, deux grands fournisseurs d’hébergement et de centres de données, n’est pas surprenante, étant donné que les outils FTP sont couramment déployés à des fins d’hébergement Web.
Hôtes trompeurs
En date du 23 avril 2024, Censys a identifié environ 2 500 hôtes dans notre ensemble de données renvoyant des favicons CrushFTP WebInstance, mais sans preuve de l’exécution réelle du logiciel. Ces hôtes étaient exclusivement basés sur AMAZON-02 ou AMAZON-AES. Ces résultats reflètent nos observations antérieures sur les « hôtes trompeurs ».
De nombreux frameworks de détection de logiciels open source utilisent des hachages de favicon uniques pour identifier des produits logiciels spécifiques. La règle CrushFTP en question qui s’est déclenchée sur ces hôtes trompeurs vérifie la présence d’une favicon avec un hachage md5 de '297a81069094d00a052733d3a0537d18', tel que défini dans la base de données Recog de rapid7.
Ces hôtes trompeurs déclenchent généralement bon nombre de ces règles de détection logicielle, et c’est probablement intentionnel. Étant donné que bon nombre des produits logiciels que nous les avons observés émuler sont liés à des vulnérabilités de sécurité critiques récentes, ce comportement vise probablement les scanners de vulnérabilité et les scanners Internet. Dans un cas, nous avons trouvé un hôte présentant à la fois un favicon CrushFTP et un artefact PAN-OS GlobalProtect dans le corps de la réponse HTTP. Dans d’autres cas, certains de ces hôtes présentaient un titre HTML Ivanti Connect Secure. PAN-OS GlobalProtect et Ivanti Connect Secure ont tous deux été associés à d’importantes vulnérabilités au cours des derniers mois.
Soyons clairs : c’est très inhabituel. La création d’un favicon pour imiter un autre produit ou service demande des efforts – vous devez obtenir l’image, puis vous assurer qu’elle est correctement affichée par votre serveur Web. S’il est trop tôt pour tirer des conclusions définitives sur les intentions de ces animateurs, il est clair que celui qui se cache derrière eux n’est pas un amateur.
À titre d’avertissement, vous pouvez exclure ces hôtes de votre Censys Résultats de la recherche en ajoutant and not services.labels=”tarpit”
à votre requête.
Que peut-on faire ?
- Mettez à niveau vos instances CrushFTP dès que possible si vous ne l’avez pas déjà fait. Voici des instructions sur la façon de procéder pour les versions 10 et 11.
- Veuillez noter que les suggestions initiales selon lesquelles l’utilisation d’une DMZ protégerait votre instance CrushFTP de cette vulnérabilité ne sont pas tout à fait exactes. Il est recommandé de mettre à niveau vos versions logicielles pour atténuer efficacement cette vulnérabilité.
Références :