Egy kritikus RCE sebezhetőséget fedeztek fel a CrushFTP vállalati szoftvercsomagban, amely lehetővé teszi támadók számára, hogy a hitelesítést megkerülve hozzáférjenek a szerver fájljaihoz, kódot futtassanak és plain-text jelszavakat szerezzenek meg.
A CVE-2023-43177 néven nyomon követhető hibát a Converge security kutatói fedezték fel 2023. augusztusában, majd továbbították a fejlesztők felé, akik még aznap éjszaka biztonsági frissítést bocsátottak ki a szoftverhez. Most a Convergence nyílvánosságra hozta a hiba technikai részleteit is, így a biztonsági intézkedések végrehajtása sürgőssé vált.
Az exploit egy hitelesítés nélküli tömeges hozzárendelési sebezhetőségen keresztül történik, ami az AS2 fejléc parsing-ját használja ki a felhasználók munkamenet tulajdonságainak irányítására. Ez lehetővé teszi a támadók számára a fájlok olvasását és törlését, ami potenciálisan teljes rendszerirányításhoz és root szintű távoli kódfuttatáshoz (RCE) vezethet.
Az aktor a 80, 443, 8080, 9090 portokon küldött web headerekkel naplózási adatokat juttat a rendszerbe. Ezután a Java „putAll()” függvényének segítségével felülírja a session meta adatait, így lehetővé válik számára az adminisztrátori fiókok ideiglenes megszemélyesítése. A „drain_log()” segítségével szükség szerint manipulálja a fileokat, így láthatatlanná válva. Végül a támadó a „sessions.obj” fájlt használja a program telepítési mappájában, hogy admin fiókokhoz tartozó élő munkameneteket szerezzen meg, ezzel gyakorlatilag végérvényesen elérve a felsőbb jogosultsági szintet. Ezután az admin panelen elérhető SQL driver loading és adatbázis-konfiguráció tesztelő (testDB) hibáit kihasználva tetszőleges Java kódot futtathat.
A Converge jelentése szerint körülbelül 10 000 nyilvánosan elérhető CrushFTP kiszolgáló van és feltehetően még ennél is több a vállalati tűzfalak mögött. A helyzetet tovább súlyosbítja, hogy állítólag a biztonsági patchet egyes kártékony aktorok már visszafejtették, így a kihasználása bizonyosan várható és önmagában a biztonsági frissítés telepítése nem eredményez 100%-os biztonságot.
A kockázat hatékony csökkentése érdekében ajánlott a következő lépéseket követni:
-
- A CrushFTP legújabb verzióra való frissítése
- Az automatikus biztonsági frissítések bekapcsolása
- A jelszó algoritmus Argon-ra való átváltása
- Az engedély nélküli felhasználók és a friss jelszóváltoztatások felülvizsgálata
- Limited Server mód aktiválása
Ezen felül érdemes még:
-
- Korlátozott jogosultságú operációs rendszeri fiókot üzemeltetni a CrushFTP-hez
- Nginxet vagy Apachet telepíteni fordított proxyként a nyilvánosan elérhető szerverekhez
- A tűzfalon korlátozni a forgalmat úgy, hogy csak a megbízható IP címekről érkező requesteket engedélyezze
