Более 1400 CrushFTP-серверов, доступных в Сети, оказались уязвимы к атакам
Главная » Новости

Более 1400 CrushFTP-серверов, доступных в Сети, оказались уязвимы к атакам

Вероника Дубровская 26 Апреля 2024 - 17:40
...
Более 1400 CrushFTP-серверов, доступных в Сети, оказались уязвимы к атакам

Выставленные в интернет CrushFTP серверы, которых насчитывается более 1400, оказались уязвимы к атакам, эксплуатирующим уязвимость внедрения шаблонов на стороне сервера (SSTI), ранее использовавшуюся как 0-day.

CrushFTP описывает CVE-2024-4040 как возможность выхода за пределы песочницы виртуальной файловой системы (VFS), которая позволяет хакерам читать произвольные файлы.

Как оказалось, данный баг также делает возможным для злоумышленников обход аутентификации для доступа к учетной записи администратора и полное удаленное выполнение кода (RCE) на непропатченных системах.

В пятницу CrushFTP сообщила пользователям о необходимости немедленного обновления для блокировки попыток хакеров выйти из виртуальной файловой системы пользователя и загрузить системные файлы.

По словам исследователей платформы мониторинга угроз Shadowserver, большинство из обнаруженных непропатченных экземпляров CrushFTP, оставшихся в Сети, находятся в США (725), Германии (115) и Канаде (108).

Shodan также отслеживает 5 232 CrushFTP сервера, доступных в интернете. Пока нет никакой информации о том, сколько из них могут быть уязвимы к атакам.

 

Сразу после выпуска обновлений специалисты по кибербезопасности компании CrowdStrike опубликовали отчет, в котором говорится, что злоумышленники атаковали серверы CrushFTP в нескольких американских организациях в рамках политически мотивированной кампании по сбору разведданных.

Юзерам CrushFTP следует регулярно проверять веб-сайт производителя на наличие последних обновлений и инструкций, чтобы защитить себя от продолжающихся попыток эксплуатации.

В эту среду Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило брешь CVE-2024-4040 в свой каталог известных эксплуатируемых уязвимостей, предписав федеральным агентствам США защитить свои уязвимые серверы в течение недели.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

OpenAI призывает разрешить игнорировать авторское право при обучении ИИ
Яков Шпунт 14 Марта 2025 - 13:18
Общее
OpenAI призывает разрешить игнорировать авторское право при обучении ИИ

Компания OpenAI официально обратилась к правительству США с просьбой разрешить использование контента, защищенного авторским правом, для обучения искусственного интеллекта (ИИ) при условии соблюдения принципа «добросовестного использования» (fair use).

По мнению представителей компании, ограничения на доступ к таким данным угрожают национальной безопасности и конкурентоспособности США на международной арене.

Издание Ars Technica отмечает, что OpenAI и другие разработчики искусственного интеллекта уже вовлечены в десятки судебных разбирательств с правообладателями.

В большинстве случаев суды встают на сторону владельцев авторских прав, отказываясь признавать правомерной трансформацию их контента при обучении нейросетей. Кроме того, как сообщал журнал Wired, некоторые иски были поданы из-за опасений, что развитие ИИ может полностью вытеснить людей из ряда профессий.

OpenAI подчеркнула, что китайские разработчики имеют практически неограниченный доступ к информации и могут свободно использовать защищённый контент, что даёт им значительное преимущество в скорости и качестве разработки искусственного интеллекта.

Компания уверена, что США рискуют проиграть технологическую гонку, если американские компании не получат аналогичный доступ к широкому спектру данных для обучения нейросетей.

Ситуация усложняется также активностью американских законодателей, которые за последнее время предложили уже 822 нормативных акта, направленных на регулирование сферы ИИ.

Многие из предложенных законов похожи на действующие в Евросоюзе нормы, которые, по мнению OpenAI, значительно усложняют технологическое развитие и могут негативно повлиять на конкурентоспособность США.

Компания также выступила против присоединения Соединённых Штатов к международным соглашениям, которые, по её мнению, могут замедлить развитие технологий и усилить преимущества китайских конкурентов, чьи разработки уже активно внедряются на американском рынке.

Федеральные власти США пока никак не прокомментировали предложение OpenAI. План национального развития искусственного интеллекта должен быть представлен в июле 2025 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
R-Vision SIEM получила сертификат соответствия ФСТЭК России
Новость
R-Vision SIEM получила сертификат соответствия ФСТЭК России
Банковские данные в дарквебе: цена достигает $2500
Новость
Банковские данные в дарквебе: цена достигает $2500
В Android закрыли уязвимость нулевого дня, уже фигурирующую в кибератаках
Новость
В Android закрыли уязвимость нулевого дня, уже фигурирующую...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.