Detecção CVE-2024-4040: Uma Vulnerabilidade Crítica de Dia Zero no CrushFTP Explorada na Natureza Alvejando Organizações dos EUA
Índice:
Embora CVE-2024-21111 os riscos de exploração tenham sido uma preocupação séria para as organizações que utilizam o software Oracle Virtualbox, outra vulnerabilidade crítica tem ganhado destaque nas manchetes. A CrushFTP relatou recentemente uma nova vulnerabilidade de dia zero, amplamente explorada, que impacta os servidores. A falha de máxima gravidade, rastreada como CVE-2024-4040, pode ser usada em uma série de ataques in-the-wild contra organizações nos EUA e pode levar potencialmente a RCE e ao total comprometimento do sistema.
Detectar Tentativas de Exploração do CVE-2024-4040
O aumento exponencial das campanhas de adversários que exploram falhas de segurança em soluções de software populares destaca a necessidade de elevar as defesas cibernéticas em escala e explorar novas formas para identificação e detecção proativa de vulnerabilidades. A Plataforma SOC Prime oferece a maior biblioteca de Detecção-como-Código do mundo de algoritmos, abordando qualquer ataque cibernético ou ameaça emergente sob um SLA de 24 horas. Faça login na Plataforma e aprofunde-se no algoritmo de detecção selecionado que aborda potenciais tentativas de exploração visando uma nova vulnerabilidade de dia zero do CrushFTP conhecida como CVE-2024-4040.
Regra Sigma para detectar tentativas de exploração do CVE-2024-4040
Este algoritmo de detecção desenvolvido por nosso autor de conteúdo Threat Bounty Bogac KAYA está alinhado com o framework MITRE ATT&CK®, abordando a tática de Acesso Inicial e a técnica correspondente Explorar Aplicação Pública (T1190). A regra pode ser aplicada em dezenas de tecnologias SIEM, EDR, e Data Lake ajudando os defensores a acelerar sua rotina de Engenharia de Detecção.
Autores de conteúdo de detecção aspirantes e habilidosos são bem-vindos a embarcar em sua jornada no Threat Bounty Program , nossa iniciativa colaborativa que permite aos defensores tanto avançar quanto monetizar suas habilidades de Engenharia de Detecção. Confira a gravação de nosso último workshop interativo para aprender como aproveitar ao máximo sua participação no Threat Bounty Program, publicar seu conteúdo de detecção com sucesso e melhorar continuamente sua maturidade e qualidade do conteúdo de detecção.
As empresas constantemente desafiadas com requisitos de maior velocidade em suas operações SOC devido à superfície de ataque em constante expansão estão buscando maneiras de redefinir e potencializar suas estratégias de detecção de ameaças. Clique no botão Explorar Detecções para acessar o extenso feed de conteúdo SOC para a detecção de CVEs e contribuir para o fortalecimento das defesas de sua organização.
Análise do CVE-2024-4040
Uma nova vulnerabilidade de dia zero nos servidores CrushFTP, identificada como CVE-2024-4040, apresenta altos riscos para várias organizações nos EUA. Defensores já relataram incidentes de ataques selvagens utilizando a exploração existente do CVE-2024-4040. A falha descoberta na CrushFTP, com um escore de gravidade máxima CVSS de 10.0, é uma vulnerabilidade de injeção de modelo no lado do servidor que afeta as versões anteriores a 10.7.1 e 11.1.0, juntamente com todas as instalações legadas do CrushFTP 9.
O CVE-2024-4040 permite que atacantes remotos não autenticados contornem um sandbox de sistema de arquivos virtual, permitindo que baixem arquivos do sistema e levando potencialmente ao comprometimento total do sistema. Pesquisadores da Rapid7 apontam para os riscos crescentes que o CVE-2024-4040 pode representar para clientes comprometidos, já que a falha é fácil de explorar, permitindo leitura arbitrária de arquivos como root, bypass de autenticação para acesso a conta de administrador, e RCE completo. Segundo os pesquisadores, ataques que exploram a falha são altamente direcionados, possivelmente com motivação política e visando a coleta de inteligência em várias organizações dos EUA.
Mesmo que o fornecedor tenha respondido urgentemente à ameaça liberando a versão corrigida 11.1.0 e cobrindo o aviso de segurança com recomendações para minimizar os riscos, o CVE-2024-4040 foi observado em ataques em andamento que utilizam a exploração publicamente acessível.
Para mitigar o CVE-2024-4040, o fornecedor, juntamente com a comunidade global de defensores, recomenda fortemente que as organizações que dependem de servidores CrushFTP atualizem imediatamente seus sistemas para a versão corrigida do produto. A Rapid7 também recomenda aumentar a segurança dos servidores CrushFTP contra ataques RCE em nível de administrador ativando o modo de Servidor Limitado com a configuração mais rigorosa disponível. Além disso, os clientes podem contar com firewalls para limitar agressivamente o acesso aos serviços CrushFTP a endereços IP específicos sempre que possível.
Com o lançamento do exploit PoC, ataques abusando da vulnerabilidade do CrushFTP devem continuar mirando servidores não corrigidos. A SOC Prime organiza sua suite completa de produtos para defesa cibernética coletiva , baseada em troca de inteligência de ameaças, crowdsourcing, confiança zero e IA para ajudar empresas a eliminar os riscos de ataques emergentes de qualquer escala e impacto.
