CVE-2024-53552 (CVSS 9.8): CrushFTP Flaw Exposes Users to Account Takeover
2024/12/23 SecurityOnline — 堅牢な機能と使いやすさで人気を誇る、ファイル転送サーバ CrushFTP が発行したのは、アカウントの乗っ取りにつながる可能性のある、深刻な脆弱性に対する緊急のセキュリティ・アドバイザリである。この脆弱性 CVE-2024-53552 (CVSS:9.8) は、CrushFTP バージョン 10.8.3 未満/11.2.3 未満に影響を及ぼす。
パスワード・リセット機能の悪用
この脆弱性は、パスワード・リセット・リクエストを処理する際の、不適切な方式に起因する。したがって、パスワード・リセット・メール内の、リンクを操作する攻撃者により、この脆弱性は悪用される。つまり、疑いを持たないユーザーが、悪意のリンクをクリックすることで、そのアカウントは直ちに侵害され、攻撃者に完全な制御権を奪われてしまう。
即時の対応が必要
すべてのユーザーに対して CrushFTP が強く推奨するのは、最新バージョン 10.8.3/11.2.3 へと、可能な限り早急にサーバをアップデートすることだ。それに加えて管理者は、パッチを適用した後に、許可されたメール・リセット URL ドメインをコンフィグし、さらにセキュリティを強化する必要がある。
CrushFTP の人気と、サイバー犯罪者が標的としてきた歴史を考えると、この脆弱性 CVE-2024-53552 は強く懸念されるべきである。今年の初めに CrushFTP サーバで判明したのは、リモート・コード実行を可能にする、深刻な SSTI (Server-Side Template Injection) の脆弱性 CVE-2024-4040 の存在である。この脆弱性を悪用する攻撃者は、複数の米国組織に対して、政治的な動機による情報収集キャンペーンを仕掛けた。
CrushFTP サーバの保護
脆弱性 CVE-2024-53552 に関連するリスクを軽減するために、ユーザーは以下の手順を実行する必要がある。
- Update:CrushFTP バージョン 10.8.3/11.2.3 以降へと直ちにアップグレードする。
- Configure: パスワード・リセット・メールの送信を、信頼できるドメインに制限する。
- Monitor: サーバ・ログを定期的に監視し、疑わしいアクティビティの有無を確認する。
- Educate:予期しないパスワード・リセット・メールに注意し、疑わしいリンクをクリックしないよう、ユーザーを教育する。
CrushFTP の深刻な脆弱性が FIX しました。ご利用のチームは、ご注意ください。直近の関連記事は 2024/04/26 の「CrushFTP の脆弱性 CVE-2024-4040:1,400 台以上のサーバが危険に晒されている」となります。よろしければ、CrushFTP で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.