Date de divulgation: 22 octobre 2024
CVE-2024-46483 est une vulnérabilité de type débordement d'entier dans la logique d'analyse des paquets du serveur SFTP Xlight, qui peut conduire à un débordement de tas avec un contenu contrôlé par l'attaquant. La vulnérabilité est actuellement en attente d'analyse de la part de NVD, mais une preuve de concept existante est disponible sur GitHubce qui augmente la probabilité d'observer l'exploitation de cette vulnérabilité.
Xlight FTP Server est un serveur FTP (File Transfer Protocol) léger conçu principalement pour les plates-formes Windows pour le partage et la gestion centralisés de fichiers. En général, les entreprises ou les organisations utilisent des serveurs FTP comme Xlight pour gérer les fichiers en toute sécurité, automatiser les sauvegardes ou faciliter les échanges de données entre les départements.
Xlight FTP Server is accessible over the public internet, but typically requires specific configurations to ensure security. Exposed instances of Xlight FTP Server without proper safeguards can increase the risk of exploitation. Users of Xlight FTP Server versions <= 3.9.4.2 are urged to update to the latest version immediately. Note the following key distinction between the 32-bit and 64-bit versions of Xlight:
- Versions 32 bits : Les attaquants peuvent écraser des structures de données critiques sur le tas, ce qui peut entraîner l'exécution de code.
- Versions 64 bits : Bien que l'exécution de code soit moins probable sur les systèmes 64 bits, la vulnérabilité permet toujours des plantages, ce qui entraîne un déni de service.
Les organisations disposant d'instances du serveur FTP Xlight tournées vers le public doivent vérifier les indicateurs de compromission dès que possible. Voir les requêtes Censys ci-dessous pour aider à suivre les expositions. Il est recommandé d'éviter d'exposer les portails d'administration des dispositifs de réseau sur l'internet public.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-46483 - CVSS 9.8 (Critique) attribué par CISA-ADP |
| Description de la vulnérabilité |
Vulnérabilité de type débordement d'entier dans la logique d'analyse des paquets du serveur SFTP, qui peut conduire à un débordement de tas avec un contenu contrôlé par l'attaquant. |
| Date de la divulgation |
22 octobre 2024 |
| Actifs touchés |
Serveur FTP Xlight - en particulier la version 32 bits |
| Versions de logiciels vulnérables |
<3.9.4.3 |
| PoC disponible ? |
Oui, un PoC est disponible sur GitHub |
| Statut d'exploitation |
Au moment de la rédaction du présent document, aucune exploitation active de cette vulnérabilité n'a été signalée par CISA ou Greynoise. |
| Statut du patch |
Les utilisateurs des versions 3.9.4.2 et antérieures de Xlight sont vivement encouragés à mettre à jour leur logiciel. dernière version immédiatement. L'éditeur a corrigé cette vulnérabilité dans les versions ultérieures. |
Censys Perspective
Au moment de la rédaction du présent document, Censys observait 3,520 serveurs FTP Xlight exposés en ligne, dont environ 32 % concentrés en Chine. Censys a observé qu'environ 9 % des instances exposées étaient associées à Alibaba Cloud (ASN 37963).
Environ la moitié de ces serveurs exposés divulguaient publiquement leurs versions, et nous avons découvert que 45 % de tous les serveurs exposés présentaient des signes d'exécution d'une version vulnérable (toute version inférieure à 3.9.4.3). vulnérable (toute version inférieure à 3.9.4.3).
| Vulnérable ? |
Hôtes |
Proportion du total |
| INCONNU |
1885 |
53.55% |
| FAUX |
40 |
1.14% |
| VRAI |
1595 |
45.31% |
| Total |
3520 |
100.00% |
Nous n'avons observé que 40 serveurs fonctionnant avec les versions 3.9.4.3 ou plus récentes.
Carte des instances du serveur FTP Xlight exposées :
Pour identifier toutes les instances du serveur FTP Xlight exposées sur votre réseau, quelle que soit la version, les requêtes suivantes Censys peuvent être utilisées :
Censys Requête de recherche :
services.ftp.banner:"Xlight" OR services.banner:"*xlight*ftp*" OR services.ssh.endpoint_id.raw:"*Xlight FTP*" OR services.banner:"*xlight*server"
Censys Requête ASM :
host.services.ftp.banner:"Xlight" or host.services.banner:"*xlight*ftp*" or host.services.ssh.endpoint_id.raw:"*Xlight FTP*" or host.services.banner:"*xlight*server"
Références
