Aktívne zneužívaná zraniteľnosť CrushFTP

Vývojári FTP klienta CrushFTP vydali aktualizáciu pre novú zero-day zraniteľnosť, ktorá je aktívne zneužívaná. Útočníkom umožňuje získať administrátorský prístup ku zraniteľným zariadeniam.

Zraniteľné systémy:

• CrushFTP 11.3.4_23 a vyššie
• CrushFTP 10.8.5 a vyššie

Opis zraniteľnosti:

CVE-2025-54309(CVSS 3.1 skóre 9.0)

Pokiaľ je služba DMZ proxy zakázaná, zraniteľné verzie CrushFTP nevykonávajú správne AS2 validáciu a dovolia útočníkom obísť autentifikáciu a získať prístup k účtu správcu cez protokol HTTPS. Útočník pre jej zneužitie potrebuje odoslať špeciálne upravenú požiadavku cez rozhranie HTTPS.

Možné škody:

• Obídenie bezpečnostných prvkov
• Získanie úplnej kontroly nad systémom

Odporúčania:

Používateľom zraniteľných FTP klientov odporúčame okamžitú aktualizáciu na verzie CrushFTP 11.3.4_26 a CrushFTP 10.8.5_12. Pokiaľ nie je možné z produkčných dôvodov vykonať okamžitú aktualizáciu, odporúčame preventívne obnovenie pôvodnej (základnej) konfigurácie z čistých záloh, čím zvrátite prípadnú kompromitáciu aplikácie. Zálohy možno považovať za nekompromitované, ak sú vytvorené pred 16. júlom – vrátane.

Medzi už známe znaky napadnutých systémov podľa spoločnosti SOCRadar patria:

• Zásahy do MainUsers/default/user.xml vrátane reťazca “last_logins“.
• Neznáme účty správcov s dlhými identifikátormi ako napríklad: 7a0d26089ac528941bf8cb998d97f408m
• Zmeny v rozhraní ako napríklad chýbajúce tlačidlá či iné grafické prvky.
• Prihlásenia správcov systému z neznámych IP adries.
• Zmeny v oprávneniach spravovania citlivých adresárov.

Zdroje:

• https://www.rapid7.com/blog/post/crushftp-zero-day-exploited-in-the-wild/
• https://nvd.nist.gov/vuln/detail/CVE-2025-54309
• https://socradar.io/cve-2025-54309-new-crushftp-zero-day-exploited/