Выставленные в интернет CrushFTP серверы, которых насчитывается более 1400, оказались уязвимы к атакам, эксплуатирующим уязвимость внедрения шаблонов на стороне сервера (SSTI), ранее использовавшуюся как 0-day.
CrushFTP описывает CVE-2024-4040 как возможность выхода за пределы песочницы виртуальной файловой системы (VFS), которая позволяет хакерам читать произвольные файлы.
Как оказалось, данный баг также делает возможным для злоумышленников обход аутентификации для доступа к учетной записи администратора и полное удаленное выполнение кода (RCE) на непропатченных системах.
В пятницу CrushFTP сообщила пользователям о необходимости немедленного обновления для блокировки попыток хакеров выйти из виртуальной файловой системы пользователя и загрузить системные файлы.
По словам исследователей платформы мониторинга угроз Shadowserver, большинство из обнаруженных непропатченных экземпляров CrushFTP, оставшихся в Сети, находятся в США (725), Германии (115) и Канаде (108).
Shodan также отслеживает 5 232 CrushFTP сервера, доступных в интернете. Пока нет никакой информации о том, сколько из них могут быть уязвимы к атакам.
Сразу после выпуска обновлений специалисты по кибербезопасности компании CrowdStrike опубликовали отчет, в котором говорится, что злоумышленники атаковали серверы CrushFTP в нескольких американских организациях в рамках политически мотивированной кампании по сбору разведданных.
Юзерам CrushFTP следует регулярно проверять веб-сайт производителя на наличие последних обновлений и инструкций, чтобы защитить себя от продолжающихся попыток эксплуатации.
В эту среду Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило брешь CVE-2024-4040 в свой каталог известных эксплуатируемых уязвимостей, предписав федеральным агентствам США защитить свои уязвимые серверы в течение недели.
Комментирует Сергей Хайрук, аналитик InfoWatch:
«Страховые компании наряду с финансовыми организациями периодически сталкиваются с нелояльностью собственных сотрудников. С начала этого года мы уже зарегистрировали 35 серьезных инцидентов в банках и страховых компаниях. В большинстве случаев вина за утечки данных и нелегитимное использование информации лежит на персонале пострадавших компаний. За 2013 год из банков и страховых компаний во всем мире утекло более 1,77 млн записей – персональные и платежные данные пользователей. В нашей стране за тот же период на долю сегмента «банки и финансы», куда входят страховые компании, пришлось 16% всех утечек персональных данных».