Rilevamento di CVE-2024-4040: Una Critica Vulnerabilità Zero-Day di CrushFTP Sfruttata in Natura a Danno di Organizzazioni Statunitensi
Indice:
Mentre CVE-2024-21111 i rischi di sfruttamento sono stati una preoccupazione seria per le organizzazioni che utilizzano il software Oracle Virtualbox, un’altra vulnerabilità critica ha raggiunto le prime pagine. CrushFTP ha recentemente segnalato una nuova vulnerabilità zero-day ampiamente sfruttata che colpisce i server. Il difetto di massima gravità tracciato come CVE-2024-4040 può essere trasformato in attacchi reali contro le organizzazioni negli Stati Uniti e può potenzialmente portare a RCE e al controllo completo del sistema.
Rilevare Tentativi di Sfruttamento di CVE-2024-4040
L’aumento esponenziale delle campagne avversarie che sfruttano i bug di sicurezza nelle soluzioni software popolari evidenzia la necessità di elevare le difese informatiche su larga scala ed esplorare nuovi modi per l’identificazione e il rilevamento proattivo delle vulnerabilità. SOC Prime Platform offre la più grande libreria al mondo di algoritmi Detection-as-Code, affrontando qualsiasi attacco informatico o minaccia emergente con un SLA di 24 ore. Accedi alla piattaforma e approfondisci l’algoritmo di rilevamento curato che affronta i potenziali tentativi di sfruttamento mirati a una nuova vulnerabilità zero-day di CrushFTP conosciuta come CVE-2024-4040.
Regola Sigma per rilevare i tentativi di sfruttamento di CVE-2024-4040
Questo algoritmo di rilevamento sviluppato dal nostro autore di contenuti Threat Bounty Bogac KAYA è allineato con il framework MITRE ATT&CK®, affrontando la tattica di Accesso Iniziale e la corrispondente tecnica Exploit Application Pubblicamente Accessibile (T1190). La regola può essere applicata attraverso dozzine di tecnologie SIEM, EDR e Data Lake aiutando i difensori a velocizzare la loro routine di Ingegneria del Rilevamento.
Autori di contenuti di rilevamento aspiranti e qualificati sono invitati ad iniziare il loro Programma Threat Bounty , la nostra iniziativa crowdsourced che consente ai difensori di avanzare e monetizzare le loro capacità di Ingegneria del Rilevamento. Guarda la registrazione del nostro ultimo workshop interattivo per imparare come sfruttare al massimo la partecipazione al tuo Programma Threat Bounty, pubblicare con successo il tuo contenuto di rilevamento, e migliorare continuamente la tua maturità e qualità del contenuto di rilevamento.
Le imprese costantemente sfidate da requisiti più veloci nelle loro operazioni SOC a causa della superficie di attacco in continua espansione cercano modi per ridefinire e potenziare le loro strategie di rilevamento delle minacce. Clicca il pulsante Esplora Rilevamenti per accedere al vasto feed di contenuti SOC per il rilevamento di CVE e contribuire a rafforzare le difese della tua organizzazione.
Analisi di CVE-2024-4040
Una nuova vulnerabilità zero-day nei server CrushFTP, identificata come CVE-2024-4040, pone alti rischi per molte organizzazioni statunitensi. I difensori hanno già riportato incidenti di attacchi in-the-wild che sfruttano l’esploit CVE-2024-4040 esistente. Il difetto scoperto in CrushFTP, con un punteggio CVSS di massima gravità di 10.0, è una vulnerabilità di iniezione di modelli lato server che colpisce le versioni precedenti alla 10.7.1 e 11.1.0, insieme a tutte le installazioni CrushFTP 9 legacy.
CVE-2024-4040 consente agli attaccanti remoti non autenticati di bypassare un sandbox del file system virtuale dando loro il via libera per scaricare file di sistema e potenzialmente portando al compromesso completo del sistema. I ricercatori di Rapid7 indicano i rischi crescenti che CVE-2024-4040 può porre ai clienti compromessi poiché il difetto è facile da sfruttare, permettendo una lettura arbitraria dei file come root, bypass dell’autenticazione per l’accesso all’account amministratore, e RCE completo. Secondo i ricercatori, gli attacchi che sfruttano il difetto sono altamente probabili siano politicamente motivati e mirati alla raccolta di intelligence attraverso varie organizzazioni statunitensi.
Anche se il fornitore ha risposto urgentemente alla minaccia rilasciando la versione patch 11.1.0 e coprendo il relativo avviso di sicurezza con raccomandazioni per minimizzare i rischi, CVE-2024-4040 è stato osservato negli attacchi in corso che sfruttano l’esploit pubblico accessibile.
Per la mitigazione di CVE-2024-4040, il fornitore, insieme alla comunità globale dei difensori, raccomanda vivamente alle organizzazioni che si affidano ai server CrushFTP di aggiornare immediatamente i loro sistemi alla versione patch del prodotto. Rapid7 raccomanda anche di migliorare la sicurezza dei server CrushFTP contro gli attacchi RCE a livello amministratore abilitando la modalità Server Limitato con la configurazione più rigorosa disponibile. Inoltre, i clienti possono fare affidamento su firewall per limitare aggressivamente l’accesso ai servizi CrushFTP a indirizzi IP specifici dove possibile.
Con il rilascio dell’exploit PoC, ci si aspetta che gli attacchi che abusano della vulnerabilità CrushFTP continuino a prendere di mira i server non patchati. SOC Prime cura la sua suite completa di prodotti per la difesa informatica collettiva basandosi su scambio di intelligence sulle minacce, crowdsourcing, zero-trust e AI per aiutare le imprese a eliminare i rischi di attacchi emergenti di qualsiasi scala e impatto.
