Skip to content
Nouveau livre électronique : Obtenez dès aujourd'hui votre exemplaire du manuel "Unleash the Power of Censys Search Handbook" (Libérez la puissance de la recherche sur ) ! | Télécharger maintenant
Avis

Avis du 30 octobre : Faille du serveur FTP Xlight [CVE-2024-46483]

Date de divulgation: 22 octobre 2024

CVE-2024-46483 est une vulnérabilité de type débordement d'entier dans la logique d'analyse des paquets du serveur SFTP Xlight, qui peut conduire à un débordement de tas avec un contenu contrôlé par l'attaquant. La vulnérabilité est actuellement en attente d'analyse de la part de NVD, mais une preuve de concept existante est disponible sur GitHubce qui augmente la probabilité d'observer l'exploitation de cette vulnérabilité.

Xlight FTP Server est un serveur FTP (File Transfer Protocol) léger conçu principalement pour les plates-formes Windows pour le partage et la gestion centralisés de fichiers. En général, les entreprises ou les organisations utilisent des serveurs FTP comme Xlight pour gérer les fichiers en toute sécurité, automatiser les sauvegardes ou faciliter les échanges de données entre les départements.

Xlight FTP Server is accessible over the public internet, but typically requires specific configurations to ensure security. Exposed instances of Xlight FTP Server without proper safeguards can increase the risk of exploitation. Users of Xlight FTP Server versions <= 3.9.4.2 are urged to update to the latest version immediately. Note the following key distinction between the 32-bit and 64-bit versions of Xlight:

  • Versions 32 bits : Les attaquants peuvent écraser des structures de données critiques sur le tas, ce qui peut entraîner l'exécution de code.
  • Versions 64 bits : Bien que l'exécution de code soit moins probable sur les systèmes 64 bits, la vulnérabilité permet toujours des plantages, ce qui entraîne un déni de service.

Les organisations disposant d'instances du serveur FTP Xlight tournées vers le public doivent vérifier les indicateurs de compromission dès que possible. Voir les requêtes Censys ci-dessous pour aider à suivre les expositions. Il est recommandé d'éviter d'exposer les portails d'administration des dispositifs de réseau sur l'internet public.

Champ d'application Détails
CVE-ID CVE-2024-46483 - CVSS 9.8 (Critique) attribué par CISA-ADP
Description de la vulnérabilité Vulnérabilité de type débordement d'entier dans la logique d'analyse des paquets du serveur SFTP, qui peut conduire à un débordement de tas avec un contenu contrôlé par l'attaquant.
Date de la divulgation 22 octobre 2024
Actifs touchés Serveur FTP Xlight - en particulier la version 32 bits
Versions de logiciels vulnérables  <3.9.4.3
PoC disponible ? Oui, un PoC est disponible sur GitHub
Statut d'exploitation Au moment de la rédaction du présent document, aucune exploitation active de cette vulnérabilité n'a été signalée par CISA ou Greynoise. 
Statut du patch Les utilisateurs des versions 3.9.4.2 et antérieures de Xlight sont vivement encouragés à mettre à jour leur logiciel. dernière version immédiatement. L'éditeur a corrigé cette vulnérabilité dans les versions ultérieures.

Censys Perspective

Au moment de la rédaction du présent document, Censys observait 3,520 serveurs FTP Xlight exposés en ligne, dont environ 32 % concentrés en Chine. Censys a observé qu'environ 9 % des instances exposées étaient associées à Alibaba Cloud (ASN 37963).

Environ la moitié de ces serveurs exposés divulguaient publiquement leurs versions, et nous avons découvert que 45 % de tous les serveurs exposés présentaient des signes d'exécution d'une version vulnérable (toute version inférieure à 3.9.4.3). vulnérable (toute version inférieure à 3.9.4.3).

Vulnérable ? Hôtes Proportion du total
INCONNU 1885 53.55%
FAUX 40 1.14%
VRAI 1595 45.31%
Total 3520 100.00%

Nous n'avons observé que 40 serveurs fonctionnant avec les versions 3.9.4.3 ou plus récentes.

Carte des instances du serveur FTP Xlight exposées :

Pour identifier toutes les instances du serveur FTP Xlight exposées sur votre réseau, quelle que soit la version, les requêtes suivantes Censys peuvent être utilisées :

Censys Requête de recherche :

services.ftp.banner:"Xlight" OR services.banner:"*xlight*ftp*"  OR services.ssh.endpoint_id.raw:"*Xlight FTP*" OR services.banner:"*xlight*server"

Censys Requête ASM :

host.services.ftp.banner:"Xlight" or host.services.banner:"*xlight*ftp*" or  host.services.ssh.endpoint_id.raw:"*Xlight FTP*" or host.services.banner:"*xlight*server"

Références

Solutions de gestion de la surface d'attaque
En savoir plus