2023년 8월에 발견된 CrushFTP 엔터프라이즈 스위트의 중요한 원격 코드 실행 취약점에 대한 개념 증명 공격이 공개되었습니다. 이 취약점은 공격자가 서버의 파일에 접근하고 코드를 실행하며 평문 비밀번호를 얻을 수 있게 합니다. 이 취약점은 Converge 보안 연구원들에 의해 발견되었으며, 개발자들은 CrushFTP 10.5.2 버전에서 이를 수정하였습니다.

이 취약점을 이용한 공격은 인증되지 않은 대량 할당 취약점을 통해 이루어지며, 이를 통해 공격자는 파일을 읽고 삭제하고, 시스템을 완전히 제어하고, 루트 수준의 원격 코드 실행을 할 수 있습니다. 공격자는 특정 포트를 사용하여 CrushFTP 서비스에 페이로드를 보낼 수 있으며, 이는 로그 추적을 남깁니다.

Converge의 보고서에 따르면, 대략 10,000개의 공개적으로 접근 가능한 CrushFTP 인스턴스가 있으며, 기업 방화벽 뒤에는 더 많은 인스턴스가 있을 것으로 예상됩니다. 불행히도, 패치를 적용하더라도 모든 가능한 위협으로부터 CrushFTP 엔드포인트를 보호할 수 없다는 것이 연구자들에 의해 밝혀졌습니다.

요약

- 중요한 원격 코드 실행 취약점이 CrushFTP 엔터프라이즈 스위트에서 발견되었으며, 이를 이용한 공격이 가능하다.

- 이 취약점을 이용한 공격은 인증되지 않은 대량 할당 취약점을 통해 이루어지며, 시스템을 완전히 제어하고, 루트 수준의 원격 코드 실행을 할 수 있다.

- 대략 10,000개의 공개적으로 접근 가능한 CrushFTP 인스턴스가 있으며, 패치를 적용하더라도 모든 가능한 위협으로부터 CrushFTP 엔드포인트를 보호할 수 없다.

Reference

https://www.bleepingcomputer.com/news/security/exploit-for-crushftp-rce-chain-released-patch-now/

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.