ผู้เชี่ยวชาญเตือนช่องโหว่ Zero-Day ระดับ Critical ของ CrushFTP

146/67 (IT) ประจำวันอังคารที่ 23 เมษายน 2567

ผู้เชี่ยวชาญของ Crowdstrike เตือนว่า Threat actor ได้กำลังใช้ประโยชน์จากช่องโหว่ Zero-Day ระดับ Critical ใน CrushFTP enterprise ในการโจมตีแบบกำหนดเป้าหมาย โดย CrushFTP เป็นซอฟต์แวร์เซิร์ฟเวอร์การถ่ายโอนไฟล์ที่ช่วยให้สามารถถ่ายโอนไฟล์ได้อย่างปลอดภัยและมีประสิทธิภาพ ซึ่งรองรับคุณสมบัติต่างๆ เช่น โปรโตคอล FTP, SFTP, FTPS, HTTP, HTTPS, WebDAV และ WebDAV SSL ที่ช่วยให้ผู้ใช้งานสามารถถ่ายโอนไฟล์ได้อย่างปลอดภัยผ่านเครือข่ายที่แตกต่างกัน    

CrushFTP v11 เวอร์ชันต่ำกว่า 11.1 มีช่องโหว่ที่ผู้ใช้สามารถหลบเลี่ยง VFS และดาวน์โหลดไฟล์ระบบได้และจะได้รับการแก้ไขใน v11.1.0 ในส่วนลูกค้าที่ใช้งาน DMZ (demilitarized zone) หน้าอินสแตนซ์ CrushFTP จะได้รับการปกป้องจากการโจมตี โดยช่องโหว่ดังกล่าวถูกค้นพบและรายงานจาก Simon Garrelou จาก Airbus CERT ซึ่งได้รับเครดิต และช่องโหว่นี้ยังไม่ได้รับ CVE โดยแนะนำใผู้ใช้งาน CrushFTP ควรติดตามเว็บไซต์ของผู้จำหน่ายเพื่อรับคำแนะนำล่าสุดและจัดลำดับความสำคัญของการแพตช์

แหล่งข่าว https://securityaffairs.com/162067/hacking/crushftp-zero-day-exploited.html