CVE-2024-4040: CrushFTP Users Targeted in Zero-Day Attack Campaign
2024/04/22 SecurityOnline — 人気のエンタープライズ・ファイル転送ソフトウェア CrushFTP のユーザーを標的とする、深刻な脆弱性が新たに出現した。このゼロデイ脆弱性 CVE-2024-4040 (CVSS:7.7) は、すべてのサポート対象プラットフォームにおいて、バージョン 10.7.1/11.1.0 未満を使用している組織に対して深刻なリスクをもたらす。この脆弱性により、最小限の権限しか持たない攻撃者は、VFS (Virtual File System) のサンドボックスをエスケープし、権限の及ばない機密ファイルへのアクセスを可能にする。
脆弱性 CVE-2024-4040
この脆弱性は、Airbus CERT の Simon Garrelouにより発見され、CrowdStrike サイバー・セキュリティ専門家により確認されている。
脆弱性 CVE-2024-4040 により、基本的なユーザー権限だけを持つ攻撃者であっても、CrushFTP の VFS (Virtual File System) サンドボックス・エスケープが可能になる。つまり、意図されたデータ・アクセス制限を逃れ、ソフトウェアがインストールされたシステム上の、あらゆるファイルを読み取ることが可能になる。この欠脆弱性は、バージョン 10.7.1/11.1.0 未満の、すべての CrushFTP に影響を及ぼす。
なぜ危険なのか?
CrushFTP は、機密性の高い情報/文書を管理するために、数多くの組織で使用されている。したがって、攻撃が成功した脅威者がシステムに侵入し、企業秘密/政府データ/個人情報などを暴露する可能性が生じる。
脆弱性を悪用する脅威アクターは?
CrowdStrike の情報チームは、米国の複数の組織において、この脆弱性が広く悪用されていることを確認している。攻撃のパターンは、主な動機が情報収集にあることを示唆しており、政治的な動機によるキャンペーンではないかと、研究者たちは推測している。
行うべきことは?
- 速やかなパッチ適用: CrushFTP を使用している場合には、遅滞なく最新バージョン (10.7.1/11.1.0) にアップデートする必要がある。これらのバージョンは、この脆弱性に対処している。
- DMZ を検討: DMZ (demilitarized zone) 内に CrushFTP を展開している組織は、この特定のエクスプロイトから、ある程度は本質的に保護される。
- 監視の強化: セキュリティ・チームは厳戒態勢をとり、CrushFTP の周辺での異常な動きやネットワーク・トラフィックを、注意深く監視する必要がある。
CrushFTP の脆弱性 CVE-2024-4040 ですが、2024/04/20 の「CrushFTP のゼロデイ脆弱性が FIX:標的型攻撃での悪用が確認されている」でお伝えした脆弱性に、CVE が採番されたとのことです。この脆弱性ですが、被害も出ているようであり、CISA KEV にも登録されています。ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.