- 19,427
- 40
- 8 Ноя 2022
Исследователи зафиксировали массовую эксплуатацию бреши с начала апреля.
Критическая Для просмотра ссылки Войдиили Зарегистрируйся в продукте CrushFTP, активно эксплуатируемая злоумышленниками, теперь внесена Агентством по кибербезопасности и инфраструктурной безопасности США (CISA) в реестр KEV. Речь идёт о проблеме с обходом аутентификации, позволяющей атакующим получить полный контроль над уязвимыми экземплярами системы без ввода логина и пароля.
Уязвимость получила идентификатор Для просмотра ссылки Войдиили Зарегистрируйся с максимальной оценкой по шкале CVSS — 9.8. Проблема затрагивает механизм HTTP-авторизации и даёт возможность удалённому злоумышленнику подставить имя любого существующего пользователя, например «crushadmin», и войти в систему как этот пользователь. Исправления вышли в версиях Для просмотра ссылки Войди или Зарегистрируйся .
Однако ситуация заметно осложнилась: не только с технической стороны, но и в связи с запутанной историей раскрытия уязвимости. Из-за того, что VulnCheck является полномочным органом по присвоению CVE-идентификаторов, компания зарегистрировала уязвимость как Для просмотра ссылки Войдиили Зарегистрируйся , в то время как окончательное решение MITRE появилось позднее, 27 марта, с новым номером — Для просмотра ссылки Войди или Зарегистрируйся . В результате более ранний CVE был признан недействительным, что вызвало конфликт между VulnCheck, MITRE и разработчиком CrushFTP.
Для просмотра ссылки Войдиили Зарегистрируйся компании Outpost24, которая первой сообщила о проблеме, запрос на получение CVE был отправлен в MITRE ещё 13 марта. Разработчик начал готовить обновления в рамках стандартного 90-дневного периода ответственного раскрытия. Тем временем VulnCheck, не дождавшись окончания процесса, самостоятельно опубликовала данные, не предупредив ни CrushFTP, ни Outpost24.
Позднее представители VulnCheck обвинили разработчиков в попытке скрыть информацию об уязвимости, сославшись на их просьбу не публиковать CVE в течение 90 дней. В свою очередь MITRE обвинили в затягивании раскрытия, несмотря на активную эксплуатацию уязвимости в реальной среде.
Тем временем в сети уже появились инструкции по эксплуатации уязвимости. Они включают генерацию специальной сессии и подмену авторизационных заголовков, что позволяет войти под любым пользователем, известным атакующему. Хотя технические детали атаки не раскрываются полностью, принципы работы эксплойта уже опубликованы исследователями.
Компания Huntress, которая успешно воспроизвела Proof-of-Concept, Для просмотра ссылки Войдиили Зарегистрируйся об обнаружении активной эксплуатации уязвимости с 3 апреля. При этом есть основания полагать, что первые атаки могли начаться ещё 30 марта. В настоящий момент известно о как минимум четырёх взломанных хостах, принадлежащих компаниям из сфер маркетинга, розничной торговли и производства полупроводников. Три из этих организаций обслуживаются одним и тем же провайдером управляемых сервисов (MSP).
После получения доступа злоумышленники устанавливают программы удалённого управления, включая AnyDesk и MeshAgent, а также предпринимают попытки кражи учётных данных. Кроме того, в одном случае была задействована библиотека «d3d11.dll» — модифицированная версия проекта TgBot. Предполагается, что атака использует Telegram-бота для сбора информации с заражённых машин.
По состоянию на 6 апреля в мире насчитывается 815 уязвимых экземпляров CrushFTP, не получивших обновления. Из них 487 расположены в Северной Америке, а 250 — в Европе. В связи с угрозой активной эксплуатации CISA обязала все федеральные гражданские агентства США установить обновления до 28 апреля.
Критическая Для просмотра ссылки Войди
Уязвимость получила идентификатор Для просмотра ссылки Войди
Однако ситуация заметно осложнилась: не только с технической стороны, но и в связи с запутанной историей раскрытия уязвимости. Из-за того, что VulnCheck является полномочным органом по присвоению CVE-идентификаторов, компания зарегистрировала уязвимость как Для просмотра ссылки Войди
Для просмотра ссылки Войди
Позднее представители VulnCheck обвинили разработчиков в попытке скрыть информацию об уязвимости, сославшись на их просьбу не публиковать CVE в течение 90 дней. В свою очередь MITRE обвинили в затягивании раскрытия, несмотря на активную эксплуатацию уязвимости в реальной среде.
Тем временем в сети уже появились инструкции по эксплуатации уязвимости. Они включают генерацию специальной сессии и подмену авторизационных заголовков, что позволяет войти под любым пользователем, известным атакующему. Хотя технические детали атаки не раскрываются полностью, принципы работы эксплойта уже опубликованы исследователями.
Компания Huntress, которая успешно воспроизвела Proof-of-Concept, Для просмотра ссылки Войди
После получения доступа злоумышленники устанавливают программы удалённого управления, включая AnyDesk и MeshAgent, а также предпринимают попытки кражи учётных данных. Кроме того, в одном случае была задействована библиотека «d3d11.dll» — модифицированная версия проекта TgBot. Предполагается, что атака использует Telegram-бота для сбора информации с заражённых машин.
По состоянию на 6 апреля в мире насчитывается 815 уязвимых экземпляров CrushFTP, не получивших обновления. Из них 487 расположены в Северной Америке, а 250 — в Европе. В связи с угрозой активной эксплуатации CISA обязала все федеральные гражданские агентства США установить обновления до 28 апреля.
- Источник новости
- www.securitylab.ru
