Kritisk sårbarhed i filoverførselstjeneste
Der er fundet en sårbarhed i filoverførselstjenesten CrushFTP, der kan give angribere uautoriseret adgang til servere, hvis de er eksponeret på internettet via HTTP(S). Sårbarheden berører alle versioner af CrushFTP v11, men ikke tidligere versioner.
Det skriver Bleeping Computer.
Sårbarheden har ikke fået et id-nummer endnu, endsige en CVSS-score, men den vurderes af en samarbejdspartner til DKCERT til at være kritisk.
De berørte produkter er:
- CrushFTP v10.0.0 til 10.8.3
- CrushFTP 11.0.0 til 11.3.0
Aktører opfordres til at updatere deres CrushFTP til version 10.8.4+ eller v11.3.1+, hvilket vil lukke for sårbarheden. Kan opdateringen ikke gennemføres, anbefales det at aktivere DMZ-funktionen i CrushFTP.
Bleeping Computer skriver i sin omtale, at mere end 3.400 CrushFTP-instanser eksponeret på internettet ifølge en analyse fra Shodan.
Som med andre systemer, er det ikke første gang, at CrushFTP har haft alvorlige sikkerhedsproblemer. I april 2024 blev en 0-dages sårbarhed udnyttet i en angrebskampagne, der vurderes til at have været politisk motiveret. CISA tilføjede dengang sårbarheden til deres katalog over kendte udnyttede sårbarheder og beordrede amerikanske føderale agenturer til at beskytte deres systemer.