CrushFTP advierte corregir de inmediato la falla de acceso no autenticado

Iniciado por AXCESS, Marzo 26, 2025, 12:15:05 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 26, 2025, 12:15:05 AM


CrushFTP advirtió a sus clientes sobre una vulnerabilidad de acceso no autenticado al puerto HTTP(S) y les instó a parchear sus servidores inmediatamente.

Como la compañía también explicó en un correo electrónico enviado a sus clientes el viernes, la falla de seguridad permite a los atacantes obtener acceso no autenticado a servidores sin parchear si estos se exponen en internet a través de HTTP(S).

"Por favor, tomen medidas inmediatas para aplicar el parche lo antes posible. Se ha solucionado una vulnerabilidad hoy (21 de marzo de 2025). Todas las versiones de CrushFTP v11 se vieron afectadas. (No se ven afectadas las versiones anteriores). Próximamente se generará una CVE", advirtió la compañía.

"En resumen, esta vulnerabilidad implica que un puerto HTTP(S) expuesto podría provocar un acceso no autenticado. La vulnerabilidad se mitiga si se cuenta con la función DMZ de CrushFTP".

Si bien el correo electrónico indica que esta vulnerabilidad solo afecta a las versiones v11 de CrushFTP, un aviso emitido el mismo día indica que tanto la v10 como la v11 de CrushFTP se ven afectadas, como indicó inicialmente la empresa de ciberseguridad Rapid7.

Como solución alternativa, quienes no puedan actualizar inmediatamente CrushFTP v11.3.1+ (que corrige la falla) pueden habilitar la opción de red perimetral DMZ (zona desmilitarizada) para proteger su instancia de CrushFTP hasta que se implementen las actualizaciones de seguridad.

Según Shodan, más de 3400 instancias de CrushFTP tienen su interfaz web expuesta a ataques en línea, aunque no se pudo determinar cuántas ya han sido parcheadas.

Instancias de CrushFTP expuestas a Internet (Shodan)


En abril de 2024, CrushFTP también publicó actualizaciones de seguridad para corregir una vulnerabilidad de día cero (CVE-2024-4040), explotada activamente, que permitía a atacantes no autenticados evadir el sistema de archivos virtual (VFS) del usuario y descargar archivos del sistema.

En ese momento, la empresa de ciberseguridad CrowdStrike encontró evidencia que apuntaba a una campaña de recopilación de inteligencia, probablemente con motivaciones políticas, en la que los atacantes atacaban servidores de CrushFTP en varias organizaciones estadounidenses.

CISA añadió la CVE-2024-4040 a su catálogo de Vulnerabilidades Explotadas Conocidas, ordenando a las agencias federales estadounidenses que protegieran los servidores vulnerables en sus redes en el plazo de una semana.

En noviembre de 2023, también se advirtió a los clientes de CrushFTP que corrigieran una vulnerabilidad crítica de ejecución remota de código (CVE-2023-43177) en la suite empresarial de la compañía, después de que los investigadores de seguridad de Converge que informaron sobre la falla publicaran un exploit de prueba de concepto tres meses después de que se corrigiera. Los productos de transferencia de archivos como CrushFTP son objetivos atractivos para las bandas de ransomware, en concreto Clop, que se vinculó con ataques de robo de datos dirigidos a vulnerabilidades de día cero en MOVEit Transfer, GoAnywhere MFT, Accelion FTA y Cleo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario