A sérülékenység eredete
Július 18-án, magyar idő szerint reggel 16 órakor észlelték az első támadásokat, de valószínűleg a visszaélések már korábban elkezdődtek. Érdekesség, hogy egy korábbi hibajavítás, amely az AS2 funkciót érintette volna, véletlenül betömte ezt a most kihasznált rést is – bár ez nem volt szándékos. Miután a támadók visszafejtették a CrushFTP forráskódját, kiszúrták az új hibát, és azokat támadták, akik nem telepítették a legfrissebb javításokat.
Kiket és hogyan érint?
A támadás elsősorban a 2024. július 1. előtt kiadott verziókat érinti, vagyis a CrushFTP v10.8.5 és v11.3.4_23 előtti kiadásokat. A legújabb verziókban már javították a hibát, így akik rendszeresen frissítenek, védettek maradtak. Azok a vállalati ügyfelek, akik ún. DMZ-megoldást alkalmaznak (egy különálló CrushFTP-szervert használnak az éles rendszer védelmére), nem tűnnek érintettnek – bár a Rapid7 kiberbiztonsági cég szerint önmagában a DMZ sem jelent mindenre megoldást.
Veszély jelei és védekezés
Ha valaki arra gyanakszik, hogy rendszere kompromittálódott, célszerű a július 16. előtti biztonsági mentésből visszaállítani az alapértelmezett felhasználók beállításait. A kompromittálás jelei lehetnek: furcsa módosítások a MainUsers/default/user.XML fájlban, főleg a last_logins mezőben, vagy ismeretlen adminisztrátori fiókok megjelenése (pl. 7a0d26089ac528941bf8cb998d97f408m).
A védekezési stratégiák között szerepel: IP-cím alapú engedélyezési lista, DMZ használata, automatikus frissítések bekapcsolása, valamint a feltöltési és letöltési események fokozott naplózása.
Hasonló támadások és a veszély mértéke
Az elmúlt években a fájlátviteli rendszerek komoly célponttá váltak, és egyre több a zsarolóvírusos támadás. A tapasztalatok azt mutatják, hogy korábban más platformok, például a MOVEit (MOVEit), GoAnywhere (GoAnywhere), Accellion (Accellion) vagy a Progress Software (Progress Software) is súlyos adatszivárgásokat szenvedtek el, amelyekhez a Clop nevű banda köthető. Most a CrushFTP is felkerült a lista élére, ezért minden adminisztrátornak érdemes átvizsgálnia rendszereit.
