【安全资讯】CrushFTP警告用户立即修补未经身份验证的访问漏洞

概要：

CrushFTP近日发出警告，提醒用户修补其服务器上的未经身份验证的HTTP(S)端口访问漏洞。该漏洞可能导致攻击者在未授权的情况下访问暴露在互联网上的服务器，给用户带来严重的安全隐患。此漏洞影响CrushFTP v11版本，用户需尽快采取措施进行修补。

主要内容：

CrushFTP在一封发给客户的电子邮件中指出，未经身份验证的访问漏洞使得攻击者能够利用暴露在互联网上的HTTP(S)端口，获取对未修补服务器的访问权限。该公司强调，所有CrushFTP v11版本均受到影响，并建议用户立即更新至v11.3.1或更高版本以修复该漏洞。虽然最初的声明仅提及v11版本，但后续的安全建议显示，v10和v11版本均存在风险。

根据网络安全公司Rapid7的分析，超过3400个CrushFTP实例的网络接口暴露在外，成为潜在攻击目标。为保护这些实例，CrushFTP建议用户启用DMZ（非军事区）功能，作为临时解决方案，直到安全更新能够部署。

此外，CrushFTP在2024年4月曾发布安全更新，修补一个被积极利用的零日漏洞（CVE-2024-4040），该漏洞允许未经身份验证的攻击者逃逸用户的虚拟文件系统并下载系统文件。网络安全公司CrowdStrike发现，该攻击可能与政治动机相关，目标是多个美国组织的CrushFTP服务器。此类文件传输产品因其易受勒索软件团伙的攻击而备受关注，尤其是与数据盗窃攻击相关的Clop团伙。