CVE-2024-4040-Erkennung: Eine kritische CrushFTP-Zero-Day-Schwachstelle, die in freier Wildbahn ausgenutzt wird und auf US-Organisationen abzielt
Inhaltsverzeichnis:
Während CVE-2024-21111 Ausnutzungsrisiken eine ernsthafte Besorgnis für Organisationen waren, die Oracle Virtualbox-Software nutzen, hat eine weitere kritische Sicherheitslücke Schlagzeilen gemacht. CrushFTP hat kürzlich eine neue, weitgehend ausgenutzte Zero-Day-Schwachstelle gemeldet, die die Server betrifft. Die schwerste Schwachstelle, die als CVE-2024-4040 verfolgt wird, kann in einer Reihe von realen Angriffen gegen Organisationen in den USA eingesetzt werden und möglicherweise zu RCE und vollständiger Übernahme des Systems führen.
Versuche zur Ausnutzung von CVE-2024-4040 erkennen
Der exponentielle Anstieg gegnerischer Kampagnen, die Sicherheitslücken in beliebten Softwarelösungen ausnutzen, unterstreicht die Notwendigkeit, die Cybersicherheit im großen Maßstab zu erhöhen und neue Wege zur proaktiven Erkennung und Identifizierung von Schwachstellen zu finden. Die SOC Prime Plattform bietet die weltweit größte Detection-as-Code-Bibliothek von Algorithmen, die jeden Cyberangriff oder aufkommende Bedrohung innerhalb eines 24-Stunden-SLA ansprechen. Melden Sie sich auf der Plattform an und tauchen Sie in den kuratierten Erkennungsalgorithmus ein, der potenzielle Ausnutzungsversuche der neuen CrushFTP Zero-Day-Schwachstelle namens CVE-2024-4040 anspricht.
Sigma-Regel zur Erkennung von Ausnutzungsversuchen von CVE-2024-4040
Dieser von unserem Threat Bounty Content-Autor entwickelte Erkennungsalgorithmus Bogac KAYA ist mit dem MITRE ATT&CK® Frameworkausgerichtet und deckt die Taktik des Ersten Zugangs und die entsprechende Technik zur Ausnutzung öffentlich zugänglicher Anwendungen (T1190) ab. Die Regel kann in Dutzenden von SIEM-, EDR- und Data-Lake-Technologien angewendet werden und hilft Verteidigern, ihre Detection-Engineering-Routine zu beschleunigen.
Erfolgreiche und angehende Autoren von Inhalten zur Erkennung sind eingeladen, sich ihrem Threat Bounty-Programm anzuschließen, unsere Crowdsource-Initiative, die Verteidigern ermöglicht, sowohl ihre Detection-Engineering-Fähigkeiten zu verbessern als auch zu monetarisieren. Sehen Sie sich die Aufzeichnung unseres letzten interaktiven Workshops an, um zu lernen, wie Sie das Beste aus Ihrer Teilnahme am Threat Bounty-Programm herausholen, Ihre Erkennungsinhalte erfolgreich veröffentlichen und kontinuierlich Ihre Reife und Qualität der Erkennungsinhalte verbessern können.
Unternehmen, die in ihren SOC-Operationen ständig mit höheren Geschwindigkeitsanforderungen aufgrund der sich ständig erweiternden Angriffsfläche konfrontiert sind, suchen nach Wegen, ihre Bedrohungserkennungsstrategien neu zu definieren und zu verstärken. Klicken Sie auf die Explore Detections -Schaltfläche, um auf den umfangreichen Feed von SOC-Inhalten zur CVE-Erkennung zuzugreifen und zum Schutz Ihrer Organisation beizutragen.
CVE-2024-4040 Analyse
Eine neue Zero-Day-Schwachstelle in CrushFTP-Servern, identifiziert als CVE-2024-4040, birgt hohe Risiken für mehrere US-Organisationen. Verteidiger haben bereits Vorfälle von realen Angriffen gemeldet, die den bestehenden CVE-2024-4040-Exploit ausnutzen. Die entdeckte CrushFTP-Schwachstelle, mit einem maximalen Schweregrad-CVSS-Wert von 10,0, ist eine serverseitige Template-Injection-Schwachstelle, die die Versionen vor 10.7.1 und 11.1.0 sowie alle älteren CrushFTP 9-Installationen betrifft.
CVE-2024-4040 ermöglicht es nicht authentifizierten entfernten Angreifern, eine virtuelle Dateisystem-Sandbox zu umgehen, während sie das Herunterladen von Systemdateien ermöglichen und potenziell zum vollständigen Systemkompromiss führen können. Rapid7-Forscher weisen auf die eskalierenden Risiken hin, die CVE-2024-4040 für kompromittierte Kunden darstellen kann, da die Schwachstelle leicht auszunutzen ist und das willkürliche Lesen von Dateien als Root, das Umgehen der Authentifizierung für den Zugriff auf Administratorenkonten und vollständige RCE ermöglicht. Laut den Forschern sind Angriffe, die die Schwachstelle ausnutzen, höchstwahrscheinlich politisch motiviert und zielen auf die Informationsbeschaffung in verschiedenen US-Organisationen ab.
Obwohl der Anbieter dringend auf die Bedrohung reagiert hat, indem er die gepatchte Version 11.1.0 veröffentlicht und die zugehörige Sicherheitsberatung mit Empfehlungen zur Minimierung der Risiken abgedeckt hat, wurde CVE-2024-4040 in laufenden Angriffen beobachtet, die den öffentlich zugänglichen Exploit ausnutzen.
Zur Milderung von CVE-2024-4040 empfiehlt der Anbieter zusammen mit der globalen Verteidigungsgemeinschaft dringend, dass Organisationen, die auf CrushFTP-Servern angewiesen sind, ihre Systeme sofort auf die gepatchte Version des Produkts aktualisieren. Rapid7 empfiehlt auch die Sicherheit der CrushFTP-Server gegen Administrator-Level-RCE-Angriffe zu erhöhen, indem der begrenzte Servermodus mit der strengsten verfügbaren Konfiguration aktiviert wird. Darüber hinaus können Kunden auf Firewalls setzen, um den Zugriff auf CrushFTP-Dienste aggressiv auf bestimmte IP-Adressen zu beschränken, wo immer dies möglich ist.
Mit der Veröffentlichung des PoC-Exploits werden Angriffe, die die CrushFTP-Schwachstelle ausnutzen, voraussichtlich weiterhin nicht gepatchte Server ins Visier nehmen. SOC Prime kuratiert sein komplettes Suite von Produkten für kollektive Cyberverteidigung basiert auf Bedrohungsintelligenzaustausch, Crowdsourcing, Zero-Trust und KI, um Unternehmen dabei zu helfen, die Risiken aufkommender Angriffe jeglicher Größe und Auswirkung zu beseitigen.
