Detección del CVE-2024-4040: Una Vulnerabilidad CrÃtica Zero-Day en CrushFTP Explotada en Libertad Dirigida a Organizaciones de EE.UU.
Tabla de contenidos:
Mientras CVE-2024-21111 los riesgos de explotación han sido una preocupación seria para las organizaciones que utilizan el software Oracle Virtualbox, otra vulnerabilidad crÃtica ha estado en los titulares. CrushFTP ha informado recientemente sobre una nueva vulnerabilidad de dÃa cero ampliamente explotada que afecta a los servidores. La falla de máxima gravedad rastreada como CVE-2024-4040 puede ser utilizada en una serie de ataques en estado salvaje contra organizaciones en los EE.UU. y puede potencialmente llevar a RCE y al control total del sistema.
Detectar Intentos de Explotación de CVE-2024-4040
El aumento exponencial de campañas adversarias que aprovechan errores de seguridad en soluciones de software populares subraya la necesidad de elevar las defensas cibernéticas a escala y explorar nuevas formas de identificación y detección proactiva de vulnerabilidades. La Plataforma SOC Prime ofrece la biblioteca más grande del mundo de Detección-como-Código de algoritmos, abordando cualquier ataque cibernético o amenaza emergente bajo un SLA de 24 horas. Inicie sesión en la Plataforma y profundice en el algoritmo de detección curado que aborda intentos de explotación potenciales que apuntan a una nueva vulnerabilidad de dÃa cero de CrushFTP conocida como CVE-2024-4040.
Regla Sigma para detectar intentos de explotación de CVE-2024-4040
Este algoritmo de detección desarrollado por nuestro autor de contenido de Threat Bounty Bogac KAYA está alineado con el marco MITRE ATT&CK®, abordando la táctica de Acceso Inicial y la técnica correspondiente Exploit Public-Facing Application (T1190). La regla se puede aplicar a docenas de tecnologÃas SIEM, EDR y Data Lake ayudando a los defensores a acelerar su rutina de IngenierÃa de Detección.
Autores de contenido de detección aspirantes y experimentados son bienvenidos a embarcarse en su Programa Threat Bounty viaje, nuestra iniciativa de crowdsourcing que permite a los defensores tanto mejorar como monetizar sus habilidades de IngenierÃa de Detección. Vea la grabación de nuestro último taller interactivo para aprender cómo sacar el máximo provecho de su participación en el Programa Threat Bounty, lograr que su contenido de detección se publique con éxito y mejorar continuamente su madurez y calidad de contenido de detección.
Las empresas constantemente desafiadas con requisitos de mayor velocidad en sus operaciones SOC debido a la superficie de ataque en constante expansión están buscando formas de redefinir y potenciar sus estrategias de detección de amenazas. Haga clic en el Explorar Detecciones botón para acceder al extenso feed de contenido SOC para la detección de CVE y contribuir a fortalecer las defensas de su organización.
Análisis de CVE-2024-4040
Una nueva vulnerabilidad de dÃa cero en los servidores CrushFTP, identificada como CVE-2024-4040, plantea altos riesgos para múltiples organizaciones en EE.UU. Los defensores ya han informado sobre incidentes de ataques en estado salvaje que aprovechan el exploit existente de CVE-2024-4040. La falla descubierta en CrushFTP, con un puntaje de gravedad máxima CVSS de 10.0, es una vulnerabilidad de inyección de plantillas del lado del servidor que afecta las versiones anteriores a 10.7.1 y 11.1.0, junto con todas las instalaciones heredadas de CrushFTP 9.
CVE-2024-4040 permite a atacantes remotos no autenticados eludir un sandbox del sistema de archivos virtual dándoles luz verde para descargar archivos del sistema y potencialmente conduciendo al compromiso total del sistema. Los investigadores de Rapid7 señalan los riesgos en aumento que CVE-2024-4040 puede representar para los clientes comprometidos ya que la falla es fácil de explotar, permitiendo la lectura arbitraria de archivos como root, eludir la autenticación para el acceso a la cuenta de administrador y un RCE completo. Según los investigadores, los ataques que aprovechan la falla son altamente probables de ser polÃticamente motivados y dirigidos a la recopilación de inteligencia en varias organizaciones de EE.UU.
Aunque el proveedor ha respondido urgentemente a la amenaza lanzando la versión parcheada 11.1.0 y cubriendo el relacionado asesoramiento de seguridad con recomendaciones para minimizar los riesgos, CVE-2024-4040 ha sido observado en los ataques en curso que utilizan el exploit accesible públicamente.
Para la mitigación de CVE-2024-4040, el proveedor, junto con la comunidad global de defensores, recomienda encarecidamente a las organizaciones que dependen de servidores CrushFTP que actualicen al instante sus sistemas a la versión parcheada del producto. Rapid7 también recomienda mejorar la seguridad de los servidores CrushFTP contra ataques RCE a nivel de administrador mediante la habilitación del modo de Servidor Limitado con la configuración más estricta disponible. Además, los clientes pueden confiar en los firewalls para limitar agresivamente el acceso a los servicios CrushFTP a direcciones IP especÃficas siempre que sea posible.
Con la liberación del PoC exploit, se espera que los ataques que abusan de la vulnerabilidad CrushFTP continúen apuntando a servidores no parcheados. SOC Prime selecciona su completa gama de productos para la defensa cibernética colectiva basada en el intercambio de inteligencia de amenazas, crowdsourcing, confianza cero e IA para ayudar a las empresas a eliminar los riesgos de ataques emergentes de cualquier escala e impacto.
