Появился PoC-эксплоит для критической RCE-уязвимости в CrushFTP. Проблема позволяет неаутентифицированным злоумышленникам получать доступ к файлам на сервере, выполнять произвольный код и получать пароли в виде простого текста.
Уязвимость была обнаружена в августе 2023 года специалистами компании Converge и отслеживается как CVE-2023-43177. Так как исследователи сразу сообщили о баге производителю, еще летом разработчики выпустили патч, вошедший в состав версии CrushFTP 10.5.2.
Теперь эксперты Converge опубликовали PoC-эксплоит для CVE-2023-43177 и рекомендуют пользователям CrushFTP как можно скорее установить вышедшие обновления.
Атака на CrushFTP осуществляется через использование парсинга заголовка AS2 для управления свойствами пользовательской сессии. В результате злоумышленники получают возможность читать и удалять файлы, что потенциально может привести к установлению полного контроля над уязвимой системой и удаленному выполнению кода на с правами root.
Атакующие могут отправлять полезные нагрузки CrushFTP на определенные порты (80, 443, 8080, 9090), используя веб-заголовки. Далее они перезаписывают данные сеанса с помощью Java-функции putAll(), что позволяет им выдать себя за администраторов, а функция drain_log(), помогает производить необходимые манипуляции с файлами для сохранения скрытности, чтобы в логах не оставалось следов.
В конечном итоге злоумышленники могут использовать файл sessions.obj в установочной папке программы для перехвата реальных пользовательских сессий, принадлежащих учетным записям администраторов, то есть могут выполнить повышение привилегий.
Получив доступ к правам администратора, атакующие могут переходить к удаленному выполнению произвольного Java-кода.
Согласно данным компании Converge, в настоящее время интернете насчитывается около 10 000 доступных экземпляров CrushFTP и, скорее всего, гораздо большее количество находится за корпоративными брандмауэрами.
Решения для передачи файлов, подобные CrushFTP, особенно привлекательны для операторов программ-вымогателей. Например, вымогатель Clop известен тем, что часто распространялся через уязвимости в других популярных корпоративных продуктах, включая MOVEit Transfer, GoAnywhere MFT и Accellion FTA.
Хуже того, исследователи Converge пишут, что даже применение доступных патчей не полностью защищает CrushFTP от всех возможных угроз.
«Анализ, проведенный компанией Converge, показывает, что патч был подвергнут реверс инжинирингу, и злоумышленники уже создали собственные PoC-эксплоиты. В связи с этим существует вероятность скорой эксплуатации уязвимости», — предупреждают эксперты.
Для снижения возможных рисков администраторам рекомендуется выполнить следующие действия:
- обновить CrushFTP до последней версии;
- включить автоматическое получение обновлений безопасности;
- изменить парольный алгоритм на Argon;
- выполнить проверку на наличие неавторизованных пользователей и проверить недавние изменения паролей;
- активировать новый режим Limited Server для повышения уровня защиты.