CVE-2024-4040 検出: 米国組織を標的とした野生のクリティカルCrushFTPゼロデイ脆弱性

一方で CVE-2024-21111 Oracle Virtualboxソフトウェアを活用する組織にとって、エクスプロイトリスクは深刻な懸念事項であり続けていますが、別の重大な脆弱性が注目を集め始めています。CrushFTPは最近、サーバーに影響を与える新たな広範に悪用されているゼロデイ脆弱性を報告しました。CVE-2024-4040として追跡されている最大の深刻度の脆弱性は、米国内の組織に対する一連のリアルタイムな攻撃で兵器化される可能性があり、RCEや完全なシステム乗っ取りにつながる可能性があります。

CVE-2024-4040のエクスプロイト試行の検出

人気のあるソフトウェアソリューションのセキュリティバグを兵器化する敵対的なキャンペーンの爆発的な増加は、大規模なサイバー防衛を強化し、積極的な脆弱性の特定と検出の新たな方法を探求する必要性を強調しています。SOC Primeプラットフォームは、世界最大のDetection-as-Codeのライブラリを提供し、24時間のSLAの下ですべてのサイバー攻撃または新たな脅威に対応します。プラットフォームにログインして、新しいCrushFTPゼロデイ脆弱性CVE-2024-4040をターゲットにした可能性のあるエクスプロイト試行に対処するキュレーションされた検出アルゴリズムに深く掘り下げましょう。 

CVE-2024-4040のエクスプロイト試行を検出するためのSigmaルール 

この検出アルゴリズムは、我々のThreat Bountyコンテンツ作成者 Bogac KAYA によって開発され、 MITRE ATT&CK®フレームワークに整合しており、Initial Access戦術とそれに対応するExploit Public-Facing Application (T1190)技術に対応しています。このルールは、数十のSIEM、EDR、およびデータレイク技術で適用可能であり、防衛者のDetection Engineeringルーティンを加速させるのに役立ちます。

野心的で技術に明るい検出コンテンツ作成者は、 Threat Bounty Program への参加を歓迎しています。これは、防衛者がDetection Engineeringスキルを進化させ、収益化するためのクラウドソース型のイニシアチブです。潜在的なThreat Bounty Programの参加を最大限に活用する方法を学び、検出コンテンツを成功裏に公開し、成熟度と検出コンテンツの品質を持続的に向上させるために、 私たちの最新のインタラクティブワークショップの録画 をご覧ください。 

拡大する攻撃の表面積によりSOC業務においてより速い速度の要求に常に挑まれる企業は、脅威検出戦略を再定義し強化する方法を模索しています。CVE検出用のSOCコンテンツの幅広いフィードにアクセスし、組織の防御を強化するために 検出を探索 ボタンをクリックしてください。

検出を探索

CVE-2024-4040の分析

CrushFTPサーバーの新たなゼロデイ脆弱性、識別されたものとして CVE-2024-4040が、複数の米国の組織に高いリスクをもたらします。防衛者は既に既存のCVE-2024-4040エクスプロイトを利用したリアルタイムの攻撃の事件を報告しています。検出されたCrushFTPの欠陥は、最大深刻度のCVSSスコア10.0で、バージョン10.7.1および11.1.0より前のすべてのバージョンとすべてのレガシーCrushFTP 9のインストールに影響を及ぼすサーバーサイドテンプレート注入脆弱性です。

CVE-2024-4040は、認証されていないリモート攻撃者が仮想ファイルシステムサンドボックスをバイパスし、システムファイルをダウンロードできるようにし、最終的には完全なシステム侵害につながる可能性があります。 Rapid7研究者 は、欠陥が容易にエクスプロイトされ、rootとしての任意のファイル読み取り、管理者アカウントアクセスのための認証バイパス、および完全なRCEを可能にするため、CVE-2024-4040が妥協された顧客に与えるリスクが高まっていることを指摘しています。研究者によると、欠陥を兵器化した攻撃は、政治的に動機付けられたものである可能性が高く、米国のさまざまな組織にわたって情報収集を目的としてターゲットにされています。 

ベンダーは脅威に迅速に対応し、パッチ版11.1.0をリリースし、関連する セキュリティアドバイザリ でリスクを最小限に抑えるための推奨事項をカバーしていますが、CVE-2024-4040は一般にアクセス可能なエクスプロイトを兵器化した継続中の攻撃において観察されています。

CVE-2024-4040の軽減策として、ベンダーとグローバル防衛コミュニティは、CrushFTPサーバーに依存している組織が製品のパッチバージョンにシステムを即座に更新することを強く推奨しています。 Rapid7もまた、CrushFTPサーバーの管理者レベルのRCE攻撃に対するセキュリティを強化するために、利用可能な最も厳格な設定でLimited Serverモードを有効にすることを推奨しています。さらに、顧客はファイアウォールに依拠して、可能な限り特定のIPアドレスへのCrushFTPサービスのアクセスを積極的に制限することができます。 enhancing the security of CrushFTP servers against administrator-level RCE attacks by enabling Limited Server mode with the most stringent configuration available. Additionally, customers can rely on firewalls to aggressively limit access to CrushFTP services to specific IP addresses wherever feasible.

PoCエクスプロイトのリリースにより、CrushFTPの脆弱性を悪用する攻撃は、パッチが当てられていないサーバーを引き続きターゲットにすることが予想されます。SOC Primeは、その 集団的サイバー防御のための完全な製品スイート を脅威インテリジェンス共有、クラウドソーシング、ゼロトラスト、およびAIに基づき、あらゆる規模および影響の新たな攻撃のリスクを排除するためにビジネスを支援します。