圖片來源: 

CrushFTP

4月19日檔案伺服器系統CrushFTP發布資安公告,指出他們發布10.7.111.1.0新版本程式,修補已遭利用的零時差漏洞CVE-2024-4040,呼籲用戶應儘速部署新版程式因應。

該公司指出,一旦攻擊者利用上述漏洞,就有機會跳脫使用者的虛擬檔案系統(Virtual File System,VFS)範圍,從而存取、下載伺服器的系統檔案,CVSS風險評分為7.7。

雖然開發團隊並未透過攻擊細節,但資安業者CrowdStrike指出,這項漏洞被用於針對性攻擊,對方鎖定美國企業組織的CrushFTP伺服器下手,研究人員根據取得的證據,認為駭客很可能基於政治目標收集情報。

熱門新聞

Advertisement