Mehr als 1.400 online zugängliche CrushFTP-Server sind derzeit einer kritischen Sicherheitslücke ausgesetzt, die aktiv für Angriffe genutzt wird. Diese Schwachstelle, bekannt als Serverseitige Template Injection (SSTI) und zuvor als Zero-Day-Schwachstelle ausgenutzt, trägt die Bezeichnung CVE-2024-4040. Sie ermöglicht es unauthentifizierten Angreifern, Remote-Code-Ausführungen (RCE) auf ungeschützten Systemen durchzuführen.
CrushFTP hat seine Kunden am vergangenen Freitag dringend aufgefordert, ihre Systeme umgehend zu aktualisieren, um zu verhindern, dass Angreifer aus dem virtuellen Dateisystem (VFS) des Nutzers ausbrechen und Systemdateien herunterladen können.
Das Forschungsteam von Rapid7 bestätigte am Dienstag die Schwere der Sicherheitslücke und beschrieb sie als „vollständig unauthentifiziert und trivial ausnutzbar“. Eine erfolgreiche Ausnutzung ermöglicht nicht nur das Lesen beliebiger Dateien als Root, sondern auch das Umgehen der Authentifizierung für den Administratorzugang und die vollständige Remote-Code-Ausführung.
Sicherheitsforscher der Threat-Monitoring-Plattform Shadowserver haben 1.401 ungeschützte CrushFTP-Instanzen im Internet entdeckt, von denen die meisten in den Vereinigten Staaten (725), Deutschland (115) und Kanada (108) lokalisiert sind.
Shodan verzeichnet derzeit 5.232 im Internet freigegebene CrushFTP-Server, gibt jedoch keine Informationen darüber, wie viele von ihnen anfällig für Angriffe sein könnten.
Laut einem am Freitag von der Cybersecurity-Firma CrowdStrike veröffentlichten Bericht wurden CrushFTP-Server bei mehreren US-Organisationen im Rahmen einer politisch motivierten Spionagekampagne ins Visier genommen.
CrushFTP-Nutzer werden dringend dazu aufgefordert, regelmäßig die Website des Anbieters nach den neuesten Anweisungen zu überprüfen und das Patchen zu priorisieren, um sich gegen laufende Ausnutzungsversuche zu schützen.
Die Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2024-4040 am Mittwoch in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und angeordnet, dass US-Bundesbehörden ihre gefährdeten Server bis spätestens 1. Mai absichern müssen.
Im November wurden CrushFTP-Kunden ebenfalls gewarnt, eine kritische RCE-Sicherheitslücke (CVE-2023-43177) zu patchen, nachdem die Sicherheitsforscher von Converge, die die Schwachstelle entdeckt und gemeldet hatten, einen Proof-of-Concept-Exploit veröffentlichten.