Détection CVE-2024-4040 : Une vulnérabilité critique de type Zero-Day dans CrushFTP exploitée à grande échelle visant les organisations américaines
Table des matières :
Bien que CVE-2024-21111 les risques d’exploitation aient été une préoccupation sérieuse pour les organisations utilisant le logiciel Oracle Virtualbox, une autre vulnérabilité critique a fait les gros titres. CrushFTP a récemment signalé une nouvelle vulnérabilité zero-day largement exploitée impactant les serveurs. La faille de gravité maximale suivie sous le nom de CVE-2024-4040 peut être utilisée dans une série d’attaques in-the-wild contre des organisations aux États-Unis et peut potentiellement conduire à une RCE et une prise de contrôle complète du système.
Détecter les tentatives d’exploitation de CVE-2024-4040
La montée en flèche des campagnes adverses qui exploitent les failles de sécurité dans des solutions logicielles populaires souligne la nécessité d’augmenter les défenses cybernétiques à grande échelle et d’explorer de nouvelles voies pour l’identification et la détection proactive des vulnérabilités. La plateforme SOC Prime offre la plus grande bibliothèque mondiale de Detection-as-Code d’algorithmes, répondant à toute cyberattaque ou menace émergente sous un SLA de 24 heures. Connectez-vous à la plateforme et plongez dans l’algorithme de détection ciblant les tentatives d’exploitation potentielles de la nouvelle vulnérabilité zero-day de CrushFTP connue sous le nom de CVE-2024-4040.
Règle Sigma pour détecter les tentatives d’exploitation de CVE-2024-4040
Cet algorithme de détection développé par notre auteur de contenu Threat Bounty Bogac KAYA est aligné avec le cadre MITRE ATT&CK®, abordant la tactique d’Accès Initial et la technique correspondante Exploiter une Application Exposée au Public (T1190). La règle peut être appliquée sur des dizaines de technologies SIEM, EDR et Data Lake aidant les défenseurs à accélérer leur routine de Detection Engineering.
Les auteurs de contenu de détection aspirants et expérimentés sont invités à se lancer dans leur Threat Bounty Program voyage, notre initiative participative permettant aux défenseurs de progresser et de monétiser leurs compétences en Detection Engineering. Consultez le enregistrement de notre dernier atelier interactif pour apprendre comment tirer le meilleur parti de votre participation au Threat Bounty Program, faire publier avec succès votre contenu de détection et améliorer constamment votre maturité et la qualité de votre contenu de détection.
Les entreprises constamment confrontées à des exigences de rapidité accrues dans leurs opérations SOC en raison de la surface d’attaque en expansion continue cherchent des moyens de redéfinir et de dynamiser leurs stratégies de détection des menaces. Cliquez sur le bouton Explore Detections pour accéder au flux étendu de contenu SOC pour la détection de CVE et contribuer à renforcer les défenses de votre organisation.
Analyse de CVE-2024-4040
Une nouvelle vulnérabilité zero-day dans les serveurs CrushFTP, identifiée sous le nom CVE-2024-4040, présente des risques élevés pour de nombreuses organisations américaines. Des défenseurs ont déjà rapporté des incidents d’attaques in-the-wild utilisant l’exploit existant CVE-2024-4040. La faille CrushFTP découverte, avec un score de gravité maximale CVSS de 10,0, est une vulnérabilité d’injection de modèle côté serveur impactant les versions antérieures à 10.7.1 et 11.1.0, ainsi que toutes les installations CrushFTP 9 héritées.
CVE-2024-4040 permet à des attaquants distants non authentifiés de contourner un sandbox de système de fichiers virtuel tout en leur donnant le feu vert pour télécharger des fichiers système et potentiellement conduire à une compromission complète du système. Les chercheurs de Rapid7 mettent en évidence les risques croissants que CVE-2024-4040 peut poser aux clients compromis, puisque la faille est facile à exploiter, permettant la lecture de fichiers arbitraires en tant que root, le contournement de l’authentification pour l’accès au compte administrateur, et une RCE complète. Selon les chercheurs, les attaques exploitant la faille sont très probablement politiquement motivées et ciblées pour la collecte de renseignements à travers diverses organisations américaines.
Bien que le fournisseur ait réagi de toute urgence à la menace en publiant la version corrigée 11.1.0 et en couvrant l’ avis de sécurité avec des recommandations pour minimiser les risques, CVE-2024-4040 a été observé dans les attaques en cours exploitant l’exploit accessible au public.
Pour l’atténuation de CVE-2024-4040, le fournisseur, ainsi que la communauté mondiale des défenseurs, recommande fortement aux organisations qui s’appuient sur les serveurs CrushFTP de mettre immédiatement à jour leurs systèmes vers la version corrigée du produit. Rapid7 recommande également d’améliorer la sécurité des serveurs CrushFTP contre les attaques RCE de niveau administrateur en activant le mode serveur limité avec la configuration la plus stricte disponible. De plus, les clients peuvent compter sur des pare-feux pour limiter agressivement l’accès aux services CrushFTP à des adresses IP spécifiques là où cela est faisable.
Avec la sortie de l’exploit PoC, les attaques abusant de la vulnérabilité CrushFTP devraient continuer à cibler les serveurs non corrigés. SOC Prime organise sa gamme complète de produits pour la défense cybernétique collective basée sur l’échange de renseignements sur les menaces, le crowdsourcing, le zéro confiance et l’IA pour aider les entreprises à éliminer les risques d’attaques émergentes de toute ampleur et impact.
