Kritikus Hibát javítottak a CrushFTP-ben

Egy kritikus RCE sebezhetőséget fedeztek fel a CrushFTP vállalati szoftvercsomagban, amely lehetővé teszi támadók számára, hogy a hitelesítést megkerülve hozzáférjenek a szerver fájljaihoz, kódot futtassanak és plain-text jelszavakat szerezzenek meg.

CVE-2023-43177 néven nyomon követhető hibát a Converge security kutatói fedezték fel 2023. augusztusában, majd továbbították a fejlesztők felé, akik még aznap éjszaka biztonsági frissítést bocsátottak ki a szoftverhez. Most a Convergence nyílvánosságra hozta a hiba technikai részleteit is, így a biztonsági intézkedések végrehajtása sürgőssé vált.

Az exploit egy hitelesítés nélküli tömeges hozzárendelési sebezhetőségen keresztül történik, ami az AS2 fejléc parsing-ját használja ki a felhasználók munkamenet tulajdonságainak irányítására. Ez lehetővé teszi a támadók számára a fájlok olvasását és törlését, ami potenciálisan teljes rendszerirányításhoz és root szintű távoli kódfuttatáshoz (RCE) vezethet.

Az aktor a 80, 443, 8080, 9090 portokon küldött web headerekkel naplózási adatokat juttat a rendszerbe. Ezután a Java „putAll()” függvényének segítségével felülírja a session meta adatait, így lehetővé válik számára az adminisztrátori fiókok ideiglenes megszemélyesítése. A „drain_log()” segítségével szükség szerint manipulálja a fileokat, így láthatatlanná válva. Végül a támadó a “sessions.obj” fájlt használja a program telepítési mappájában, hogy admin fiókokhoz tartozó élő munkameneteket szerezzen meg, ezzel gyakorlatilag végérvényesen elérve a felsőbb jogosultsági szintet. Ezután az admin panelen elérhető SQL driver loading és adatbázis-konfiguráció tesztelő (testDB) hibáit kihasználva tetszőleges Java kódot futtathat.

A Converge jelentése szerint körülbelül 10 000 nyilvánosan elérhető CrushFTP kiszolgáló van és feltehetően még ennél is több a vállalati tűzfalak mögött. A helyzetet tovább súlyosbítja, hogy állítólag a biztonsági patchet egyes kártékony aktorok már visszafejtették, így a kihasználása bizonyosan várható és önmagában a biztonsági frissítés telepítése nem eredményez 100%-os biztonságot.

A kockázat hatékony csökkentése érdekében ajánlott a következő lépéseket követni:

    • A CrushFTP legújabb verzióra való frissítése
    • Az automatikus biztonsági frissítések bekapcsolása
    • A jelszó algoritmus Argon-ra való átváltása
    • Az engedély nélküli felhasználók és a friss jelszóváltoztatások felülvizsgálata
    • Limited Server mód aktiválása

Ezen felül érdemes még:

    • Korlátozott jogosultságú operációs rendszeri fiókot üzemeltetni a CrushFTP-hez
    • Nginxet vagy Apachet telepíteni fordított proxyként a nyilvánosan elérhető szerverekhez
    • A tűzfalon korlátozni a forgalmat úgy, hogy csak a megbízható IP címekről érkező requesteket engedélyezze

 

(www.bleepingcomputer.com)