개요
4월 19일, CrushFTP에서 모든 플랫폼에서 10.7.1 및 11.1.0(기존 9.x 버전 포함) 미만 버전에 영향을 미치는 새로운 제로데이 취약점에 대한 정보를 공개했다. CrushFTP는 해당 취약점에 대해 즉시 서버를 패치할 것을 촉구했으며 여전히 9.x 버전을 사용하는 고객에서 즉시 11.1.0으로 업그레이드하거나 대시보드를 통해 인스턴스를 업데이트할 것을 경고했다.
4월 22일, 해당 취약점은 CVE-2024-4040으로 할당되었다.
CrushFTP(CVE-2024-4040) 취약점
이 취약점은 모든 플랫폼에서 10.7.1 및 11.1.0 이전 모든 버전의 CrushFTP의 서버 측 템플릿 삽입 취약점으로 인해 인증되지 않은 원격 공격자가 가상 파일 시스템(VFS) 샌드박스 외부의 파일 시스템에서 파일을 읽을 수 있다. 또한 인증을 우회하여 관리 액세스 권한을 얻고, 서버에서 원격 코드 실행을 수행할 수 있다.
영향받는 버전
| 영향을 받는 버전 | 패치 버전 |
| 11.0.1 | 11.1.0 |
| 10.0.0 ~ 10.6.1 | 10.7.1 |
| 10.0.0 이하 | 11.1.0으로 업그레이드 |
완화 방안
- 동일한 주요 버전 내에서 업데이트 설치
- 인터넷을 통해 서버에 직접 연결할 수 없는 경우에는 오프라인 업데이트 설치
- CrushFTP 10 버전, 9 버전 및 이전 버전은 라이선스 코드를 받아서 업그레이드
참고 자료
[1] https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
보안관제센터 MIR Team