Groot aantal Xlight ftp-servers op internet via kritiek lek op afstand over te nemen

[Captain Kirk]

Een groot aantal Xlight ftp-servers die vanaf internet benaderbaar zijn bevatten een kritieke kwetsbaarheid waardoor de systemen op afstand door een ongeauthenticeerde aanvaller zijn over te nemen. Daarnaast is proof-of-concept exploitcode beschikbaar, wat de kans op actief misbruik vergroot, aldus securitybedrijf Censys. De ontwikkelaar heeft een update uitgebracht waarmee het probleem wordt verholpen, maar heeft de impact van het lek niet duidelijk in de release notes vermeld.

Xlight is software voor het opzetten van een ftp-/sftp-server. Een kritieke kwetsbaarheid (CVE-2024-46483) in het onderdeel dat netwerkpakketten verwerkt kan voor een 'integer overflow' zorgen. Hierdoor kan een aanvaller zijn code op de server uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Op 21 augustus kwam de ontwikkelaar met versie 3.9.4.3 waarin het probleem is verholpen. Volgens de beschrijving van de update gaat het om een kwetsbaarheid waardoor het mogelijk is de server te laten crashen.

De aanval kan echter ook leiden tot het uitvoeren van code, wat de impact veel groter maakt. Onlangs verscheen er proof-of-concept exploitcode online. Censys voerde een online scan uit en ontdekte meer dan 3500 Xlight ftp-servers die vanaf het internet benaderbaar zijn. De helft van deze ftp-servers geeft de gebruikte versie weer. Op basis daarvan blijkt dat bijna de helft van alle online te vinden Xlight ftp-servers een kwetsbare versie draait. Er werden slechts veertig servers gevonden die versie 3.9.4.3 of nieuwer draaien.

 

bron: https://www.security.nl