ShadowServer meldt actief misbruik van beveiligingslek in CrushFTP

[Captain Kirk]

Aanvallers maken actief misbruik van een kwetsbaarheid in CrushFTP, software voor het opzetten van ftp-servers, zo meldt The Shadowserver Foundation. Via het beveiligingslek kan een ongeauthenticeerde aanvaller toegang tot de server krijgen. Updates zijn beschikbaar, maar op internet zijn nog ruim duizend kwetsbare servers te vinden, waaronder vijftig in Nederland, aldus The Shadowserver Foundation op basis van eigen onderzoek.

De eerste versie van CrushFTP dateert van 1998. De software ondersteunt verschillende protocollen, zoals ftp, ftps, sftp, http, https, WebDAV en WebDAV SSL. Volgens de ontwikkelaars maakt de kwetsbaarheid het mogelijk voor aanvallers om ongeauthenticeerde toegang te krijgen als er een http- of https-poort van de ftp-server toegankelijk is. Verdere details zijn niet gegeven, behalve dat het probleem is verholpen in CrushFTP versie 10.8.4+ en versie 11.3.1+.

Inmiddels is er ook proof-of-concept exploitcode beschikbaar om misbruik van de kwetsbaarheid te maken. The Shadowserver Foundation, een stichting die zich inzet voor de bestrijding van cybercrime, zegt dat aanvallers nu van deze exploitcode misbruik maken. Details over de aanvallen zijn niet beschikbaar. Ook heeft de kwetsbaarheid nog altijd geen CVE-nummer waarmee die te identificeren is. Gisteren werden op internet nog meer dan duizend kwetsbare CrushFTP-servers geteld. Beheerders van deze servers worden opgeroepen om naar de laatste versie te updaten.

 

bron: https://www.security.nl