Vulnérabilité zero-day sur CrushFTP découverte par le Cert Airbus et déjà exploitée

Alerte autour d’une vulnérabilité zero-day de CrushFTP jugée critique, qui pourrait permettre à un attaquant de contourner l’authentification et d’obtenir un accès administrateur lui permettant ainsi une prise de contrôle sur le transfert de fichiers des utilisateurs.

L’éditeur de solutions de transfert de fichiers a rendu publique la vulnérabilité d’injection de modèles côté serveur, désormais répertoriée sous le nom de CVE-2024-4040, dans un avis publié le 19 avril, à la suite d’une notification privée par courrier électronique adressée à ses clients plus tôt dans la journée. La vulnérabilité zero-day affecte le système de fichiers virtuels (VFS) de CrushFTP dans toutes les versions inférieures à 11,1, mais l’éditeur a publié un correctif le 19 avril avec des instructions sur la façon de faire une mise à niveau vers la version corrigée. CrushFTP a remercié Simon Garrelou, ingénieur en sécurité au CERT d’Airbus, découvreur de la vulnérabilité et qui l’a signalé rapidement.

Le CERT d’Airbus a observé une exploitation active et il n’a pas été le seul à le faire. Dans un avis publié sur Reddit le 19 avril, CrowdStrike a déclaré avoir observé une exploitation active de CVE-2024-4040 en tant que zero-day. L’éditeur de solutions de cybersécurité a ajouté que l’exploitation était « ciblée » et qu’elle révélait les motifs de l’attaque.

L’avis fait également référence à un rapport de menace pour les clients de CrowdStrike, intitulé « CSA-240466 Targeted Intrusion Actor Exploits CrushFTP Servers at Multiple U.S. Entities ; Intelligence-Gathering Activity Possibly Politically Motivated » (Acteur d’intrusion ciblée exploitant les serveurs CrushFTP de plusieurs entités américaines ; activité de collecte de renseignements possiblement motivée par des considérations politiques).

La rédaction de TechTarget – maison mère du MagIT – a contacté CrowdStrike pour obtenir des informations supplémentaires et nous sommes en attentes de son retour.

Lors de sa divulgation initiale, la vulnérabilité zero-day ne s’est pas vue attribuer de CVE. Un ingénieur en sécurité connu sous le nom de « h4sh », fondateur de DirectCyber, une équipe bénévole de réponse aux incidents de cybersécurité basée en Australie, a attribué la vulnérabilité CVE-2024-4040 lundi. Dans un article publié sur Mastodon, h4sh a également qualifié la faille de « VFS Sandbox Escape » et a révélé que son exploitation permettait à des « attaquants distants disposant de faibles privilèges de lire des fichiers du système de fichiers en dehors de VFS Sandbox ».

De son côté, Simon Garrelou a publié mardi sur GitHub un prototype d’exploitation pour CVE-2024-4040, ce qui pourrait signifier que les attaques sont susceptibles de se multiplier. Les attaques récentes montrent que les produits de transfert de fichiers sont des cibles populaires pour les acteurs de la menace. La campagne menée par le gang Clop contre MoveIt Transfer de Progress Software l’année dernière en est un excellent exemple. Sans même déployer de ransomware, les auteurs de la menace ont volé des données sensibles et fait des milliers de victimes, y compris des agences gouvernementales américaines.

Dans un billet de blog publié mardi dernier, Satnam Narang, chercheur chez Tenable, a révélé qu’un balayage Shodan avait révélé plus de 7 100 serveurs CrushFTP exposés à l’Internet. Cependant, Narang a ajouté qu’il est difficile d’évaluer combien d’entre eux sont réellement vulnérables aux attaques.

L’éditeur d’outils de renseignement sur les menaces Censys a également recherché des instances CrushFTP orientées vers l’Internet et a trouvé 4 899 hôtes exécutant 5 704 instances CrushFTP uniques, à la date de mardi 23 avril. Censys a observé que plus de 2 750 des instances CrushFTP étaient hébergées aux États-Unis.

« Cela est comparable avec les niveaux d’exposition observés le 16 avril 2024, avec des fluctuations mineures de l’ordre de 50 à 60 cas », a écrit Censys dans un article de blog.

CrushFTP ayant récemment publié le correctif, Censys estime que de nombreux cas n’ont pas été corrigés. Le fournisseur a également cité des problèmes liés à l’avis de CrushFTP, notamment des incohérences pour les clients utilisant la version 10 par rapport à la version 11, et a souligné que les instructions d’atténuation avaient un « ton hésitant ».

« Bien qu’il soit louable que CrushFTP ait rapidement corrigé le problème après qu’il ait été révélé, il s’agit de l’un des avis de sécurité les plus confus que nous ayons vus », affirme Censys.

Caitlin Condon, directrice de la recherche et de l’information sur les vulnérabilités chez Rapid7, a également développé des éléments sur cette vulnérabilité dans un billet de blog publié le 23 avril. Une analyse plus poussée, effectuée par l’équipe de recherche sur les vulnérabilités de Rapid7, a révélé que la vulnérabilité CVE-2024-4040 est « totalement non authentifiée et exploitable de manière assez triviale ». Plus alarmant encore, Caitlin Condon a averti les clients qu’une exploitation réussie pourrait permettre à un attaquant « d’exfiltrer potentiellement tous les fichiers stockés sur l’instance CrushFTP ».

Rapid7 a exhorté les clients à suivre les recommandations d’atténuation de CrushFTP et a confirmé que les tests de correction ont permis de remédier à CVE-2024-4040. Rapid7 a toutefois prévenu les clients qu’ils pourraient être confrontés à des problèmes de détection.

« Les charges utiles pour CVE-2024-4040 peuvent être livrées sous différentes formes. Lorsque certaines techniques d’évasion sont utilisées, les charges utiles sont supprimées des journaux et de l’historique des requêtes, et les requêtes malveillantes sont difficiles à distinguer du trafic légitime », explique Caitlin Condon dans son blog.

Rapid7 conseille aux clients de CrushFTP d’activer le mode « Limited Server » du fournisseur de services de transfert de fichiers gérés, qui permet de sécuriser les fichiers de configuration et les données du serveur.

Contacté par TechTarget CrushFTP tente de dégonfler toute polémique et déclare n’avoir reçu que des rapports d’exploitation de la part du CERT d’Airbus. L’éditeur a ajouté qu’il ne suivait pas les données relatives au nombre de clients ayant effectué les mises à jour.