CVE-2024-4040 탐지: 미 현지 조직을 표적으로 한 현존 CrushFTP 제로데이 취약점 긴급 상황

동안 CVE-2024-21111 악용 위험은 Oracle Virtualbox 소프트웨어를 활용하는 조직에 대한 심각한 우려 사항이었지만, 또 다른 중요한 취약점이 헤드라인을 장식하고 있습니다. CrushFTP는 최근 서버에 영향을 미치는 대규모로 악용된 새로운 제로데이 취약점을 보고했습니다. 최대 심각도 결함으로 추적된 CVE-2024-4040은 미국의 조직을 대상으로 한 실제 공격 시리즈에서 무기로 사용될 수 있으며, RCE 및 전체 시스템 장악으로 이어질 수 있습니다.

CVE-2024-4040 악용 시도 탐지

인기 있는 소프트웨어 솔루션의 보안 버그를 무기로 사용하는 적 캠페인의 기하급수적인 증가는 사이버 방어를 대규모로 강화하고 취약점을 선제적으로 식별하고 탐지하는 새로운 방법을 탐색해야 함을 강조합니다. SOC Prime 플랫폼은 24시간 SLA 내에 모든 사이버 공격이나 떠오르는 위협을 다루는 세계 최대의 Detection-as-Code 알고리즘 라이브러리를 제공합니다. 플랫폼에 로그인하여 새로운 CrushFTP 제로데이 취약점인 CVE-2024-4040을 목표로 하는 잠재적 악용 시도를 다루는 큐레이션된 탐지 알고리즘을 자세히 조사하십시오. 

CVE-2024-4040 악용 시도를 탐지하는 Sigma 규칙 

우리의 Threat Bounty 콘텐츠 작성자에 의해 개발된 이 탐지 알고리즘은 Bogac KAYA 와(과) 일치합니다 MITRE ATT&CK® 프레임워크, 초기 접근 전술과 해당하는 Exploit Public-Facing Application (T1190) 기법을 다룹니다. 이 규칙은 수십 개의 SIEM, EDR, 데이터 레이크 기술에 적용되어 방어자들이 탐지 엔지니어링 루틴을 가속화하는 데 도움을 줄 수 있습니다.

경험 있는 탐지 콘텐츠 작성자가 Threat Bounty Program 여정을 시작하는 것을 환영하며, 방어자들이 탐지 엔지니어링 기술을 발전시키고 수익화할 수 있도록 하는 우리의 크라우드소싱 이니셔티브입니다. 참여를 최대한 활용하고, 검증된 탐지 콘텐츠를 성공적으로 게시하며, 성숙도와 탐지 콘텐츠 품질을 지속적으로 향상시키는 방법을 배우기 위해 최신 인터랙티브 워크숍의 녹화물을 확인하십시오 . 

수시로 확장되는 공격 표면으로 인해 SOC 작업에서 더 높은 속도 요구에 직면한 기업들은 위협 탐지 전략을 재정의하고 초강력으로 업그레이드할 방법을 찾고 있습니다. CVE 탐지를 위한 광범위한 SOC 콘텐츠 피드를 액세스하고 귀사의 방어를 강화하는 데 기여하려면 탐지 탐색 버튼을 클릭하십시오.

탐지 탐색

CVE-2024-4040 분석

CrushFTP 서버에서 새로 확인된 제로데이 취약점, CVE-2024-4040은 여러 미국 조직에 높은 위험을 제기합니다. 방어자들은 이미 존재하는 CVE-2024-4040 익스플로잇을 활용한 실제 공격 사례를 보고했습니다. 최대 심각도 CVSS 점수 10.0을 가진 CrushFTP 취약점은 10.7.1 및 11.1.0 이전 버전과 모든 레거시 CrushFTP 9 설치에 영향을 미치는 서버 측 템플릿 인젝션 취약점입니다.

CVE-2024-4040은 인증되지 않은 원격 공격자가 가상 파일 시스템 샌드박스를 우회하도록 하며, 시스템 파일을 다운로드할 수 있게 하여 전체 시스템 손상으로 이어질 수 있습니다. Rapid7 연구원들은 CVE-2024-4040이 손상된 고객들에게 가할 수 있는 위험이 증가하고 있다고 지적합니다. 이 결함은 악용하기 쉬워 임의 파일을 루트로 읽을 수 있게 하며, 관리자 계정 접근을 위한 인증을 우회하고, 완전한 RCE를 가능하게 합니다. 연구원들에 따르면, 결함을 무기로 사용하는 공격은 정치적으로 유도될 가능성이 높으며 다양한 미국 조직에서 정보 수집을 대상으로 합니다. 

벤더가 위협에 긴급히 대응하여 패치된 버전 11.1.0을 출시하고 관련된 보안 권고 와 위험을 최소화하기 위한 권장 사항을 제공했음에도 불구하고, CVE-2024-4040은 공개된 익스플로잇을 무기로 사용하는 지속적인 공격에서 관찰되었습니다.

CVE-2024-4040 완화를 위해, 벤더와 글로벌 방어자 커뮤니티는 CrushFTP 서버에 의존하는 조직들이 제품의 패치된 버전으로 즉시 시스템을 업데이트할 것을 강력히 권장합니다. Rapid7은 또한 가능한 가장 엄격한 설정으로 제한된 서버 모드를 활성화함으로써 관리자 수준 RCE 공격에 대해 CrushFTP 서버의 보안을 강화할 것을 권장합니다. 또한, 고객은 가능한 경우 특정 IP 주소로 CrushFTP 서비스에 대한 접근을 적극적으로 제한하기 위해 방화벽을 사용할 수 있습니다. enhancing the security of CrushFTP servers against administrator-level RCE attacks by enabling Limited Server mode with the most stringent configuration available. Additionally, customers can rely on firewalls to aggressively limit access to CrushFTP services to specific IP addresses wherever feasible.

PoC 익스플로잇 릴리스로 인해 CrushFTP 취약점을 악용하는 공격이 패치되지 않은 서버를 지속적으로 대상으로 할 것으로 예상됩니다. SOC Prime은 사이버 방어를 위한 종합 제품군을 큐레이팅합니다 위협 인텔리전스 교환, 크라우드소싱, 제로 트러스트 및 AI를 기반으로 하여 기업이 모든 규모와 영향의 떠오르는 공격 위험을 제거할 수 있도록 돕습니다.