CrushFTP 0day 漏洞在野攻击中被利用

CrushFTP 是一款文件传输服务器软件,可实现安全高效的文件传输功能。它支持FTP、SFTP、FTPS、HTTP、HTTPS、WebDAV和WebDAV SSL协议等各种功能,允许用户在不同的网络上安全地传输文件。CrushFTP 还提供对自动化、脚本、用户管理和广泛的自定义选项的支持,以满足企业和组织的多样化需求。

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科CrushFTP 0day 漏洞在野攻击中被利用

CrushFTP 已通知用户,虚拟文件系统逃逸漏洞会影响其 FTP 软件,该漏洞可能使用户能够下载系统文件。

“低于 11.1 的 CrushFTP v11 版本存在一个漏洞,用户可以逃避其 VFS 并下载系统文件。此问题已在 v11.1.0 中修复。在其主 CrushFTP 实例前面使用DMZ的客户 将受到其使用的协议转换系统的保护。”官方漏洞通告中这样描述。

空客 CERT 的 Simon Garrelou 发现了该漏洞。

Crowdstrike 研究人员发现,攻击者在野外针对性攻击中利用了这个关键的0day漏洞。

“2024 年 4 月 19 日,CrushFTP 告知其 FTP 软件中存在虚拟文件系统逃逸漏洞,该漏洞可能允许用户下载系统文件。Falcon OverWatch 和 Falcon Intelligence 观察到该漏洞正在以有针对性的方式在野外使用。”

详情可参考Crowdstrike 在 Reddit 上发表的一篇文章。该漏洞尚未获得 CVE。


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/rzp2Fpqx_cds-jhuKSi3hA

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞13 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容