CrushFTP alvo de falha zero-day ativamente explorada
Os administradores do programa de transferência de ficheiros CrushFTP encontram-se a alertar os utilizadores para uma vulnerabilidade grave, descoberta recentemente no programa.
A falha, considerada como zero-day, encontra-se a ser ativamente explorada para ataques, e permite aos atacantes obterem acesso aos ficheiros do sistema onde a aplicação se encontra, escapando do ambiente virtual fechado do mesmo.
Esta falha foi descoberta no dia 19 de Abril, e embora a equipa de desenvolvimento do CrushFTP tenha corrigido imediatamente a mesma, ainda existem instâncias de servidores com versões desatualizadas – e a falha encontra-se ativamente a ser explorada para ataques.
Ao mesmo tempo, a falha pode ser explorada também por utilizadores não autenticados no CrushFTP, usando a interface web do mesmo. Os utilizadores que ainda se encontrem a usar versões antigas do CrushFTP v9 são aconselhados a atualizarem rapidamente os seus sistemas para uma versão mais recente, via o dashboard do programa.
De acordo com os dados do portal Shodan, existem atualmente mais de 2700 servidores com esta aplicação acessível publicamente na internet.