CrushFTPの脆弱性

CrushFTPは、マルチプロトコル、マルチプラットフォームのファイル転送サーバーです。
FTP、SFTP、FTPS、HTTP、HTTPS、WebDAV、WebDAV SSLなどのプロトコルをサポートし、Windows、macOS、Linuxなど各種環境で利用できます。
このCrushFTPに脆弱性が確認されています。

• CVE-2024-4040
  CrushFTPの提供元の情報では、この脆弱性はVFSサンドボックスエスケープであるとされています。
  VFSはVirtual File Systemで、実際のファイルシステムの上位に位置する抽象化層です。
  これを利用した仕組みを使うことで、この範囲の外側を参照できないようにする効能が期待される機構です。
  この脆弱性がある状態において、低い権限を持つリモート攻撃者が VFS サンドボックスの外側のファイルシステムからファイルを読み取ることができてしまいます。
• 確認されている別の弱さ
  CVE-2024-4040として案内されているVFSの脆弱性の内容の他に、別の弱さもあることが分かっています。
  認証されていない状態で脆弱性の悪用が可能である。
  rootとして任意のファイルを読み取れる。
  管理者アカウントへのアクセスが可能である。
  認証しない状態のままリモートコード実行もできる。
  といった具合です。
  CVEの示す内容をはるかに超えた大きな脆弱性だといえそうです。

CVE-2024-4040に対応することのできるバージョンは、すでにリリースされています。
CVE-2024-4040に対応したものを使用することで、CVE-2024-4040への対策だけでなく、前述のVFSエスケープ以外の脆弱性にも対応できることもわかっています。

しかし、この脆弱性の悪用が可能であることを確認できる概念実証コードも、すでにGitHubで公開されています。

問題に対応したバージョンを使い始めるのが早いか、攻撃者に悪用されてしまうのが早いか、スピードの勝負です。
通常実施しているパッチケイデンスに固執することなく、速やかに対応しておきたいですね。

2024/4/30からほぼこもセキュリティニュースはお休みです。
次の更新は2024/5/7以降です。

参考記事（外部リンク）：Unauthenticated CrushFTP Zero-Day Enables Complete Server
Compromise
www.rapid7.com/blog/post/2024/04/23/etr-unauthenticated-crushftp-zero-day-enables-complete-server-compromise/