CrushFTPの脆弱性

ほぼこもセキュリティニュース By Terilogy Worx

CrushFTPは、マルチプロトコル、マルチプラットフォームのファイル転送サーバーです。
FTP、SFTP、FTPS、HTTP、HTTPS、WebDAV、WebDAV SSLなどのプロトコルをサポートし、Windows、macOS、Linuxなど各種環境で利用できます。
このCrushFTPに脆弱性が確認されています。

  • CVE-2024-4040
    CrushFTPの提供元の情報では、この脆弱性はVFSサンドボックスエスケープであるとされています。
    VFSはVirtual File Systemで、実際のファイルシステムの上位に位置する抽象化層です。
    これを利用した仕組みを使うことで、この範囲の外側を参照できないようにする効能が期待される機構です。
    この脆弱性がある状態において、低い権限を持つリモート攻撃者が VFS サンドボックスの外側のファイルシステムからファイルを読み取ることができてしまいます。
  • 確認されている別の弱さ
    CVE-2024-4040として案内されているVFSの脆弱性の内容の他に、別の弱さもあることが分かっています。
    認証されていない状態で脆弱性の悪用が可能である。
    rootとして任意のファイルを読み取れる。
    管理者アカウントへのアクセスが可能である。
    認証しない状態のままリモートコード実行もできる。
    といった具合です。
    CVEの示す内容をはるかに超えた大きな脆弱性だといえそうです。

CVE-2024-4040に対応することのできるバージョンは、すでにリリースされています。
CVE-2024-4040に対応したものを使用することで、CVE-2024-4040への対策だけでなく、前述のVFSエスケープ以外の脆弱性にも対応できることもわかっています。

しかし、この脆弱性の悪用が可能であることを確認できる概念実証コードも、すでにGitHubで公開されています。

問題に対応したバージョンを使い始めるのが早いか、攻撃者に悪用されてしまうのが早いか、スピードの勝負です。
通常実施しているパッチケイデンスに固執することなく、速やかに対応しておきたいですね。

2024/4/30からほぼこもセキュリティニュースはお休みです。
次の更新は2024/5/7以降です。

参考記事(外部リンク):Unauthenticated CrushFTP Zero-Day Enables Complete Server
Compromise

www.rapid7.com/blog/post/2024/04/23/etr-unauthenticated-crushftp-zero-day-enables-complete-server-compromise/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。