Уязвимость CVE-2025-54309 (CVSS 9.0) в файловых серверах CrushFTP позволяет злоумышленникам получать полные административные привилегии через HTTPS. Критический недостаток затрагивает версии 10 до 10.8.5 и 11 до 11.3.4_23. Эксплуатация возможна только при отключенной функции DMZ-прокси.
Первые атаки зафиксированы CrushFTP 18 июля 2025 года в 9:00 по CST. Компания предполагает, что эксплуатация началась значительно раньше. Уязвимость возникла из-за ошибки обработки AS2-валидации. Хакеры обнаружили её, реверс-инжинирив исходный код после предыдущего патча AS2. Ошибка присутствовала в сборках, выпущенных до 1 июля.
Получение прав администратора ставит под угрозу государственные, медицинские и корпоративные среды, использующие CrushFTP для передачи конфиденциальных данных. Последствия включают кражу информации, установку бэкдоров и проникновение во внутренние сети. Незащищённый сервер становится точкой отказа.
Ключевые индикаторы компрометации: создание подозрительных пользователей с именами "g.» или "7a0d26089ac528941bf8cb998d97f408m", изменение файла
Для расследования проверьте время изменения
CrushFTP рекомендует восстановить файл
Характер текущих атак с использованием CVE-2025-54309 пока не детализирован. Однако CrushFTP — повторяющаяся цель: в апреле 2025 через CVE-2025-31161 (CVSS 9.8) распространялся MeshCentral, а в 2024 CVE-2024-4040 (CVSS 9.8) использовался против американских организаций. Этот тренд требует пересмотра моделей угроз, политик обновлений, анализа рисков файлообмена и мониторинга нулевых дней.
Изображение носит иллюстративный характер
Первые атаки зафиксированы CrushFTP 18 июля 2025 года в 9:00 по CST. Компания предполагает, что эксплуатация началась значительно раньше. Уязвимость возникла из-за ошибки обработки AS2-валидации. Хакеры обнаружили её, реверс-инжинирив исходный код после предыдущего патча AS2. Ошибка присутствовала в сборках, выпущенных до 1 июля.
Получение прав администратора ставит под угрозу государственные, медицинские и корпоративные среды, использующие CrushFTP для передачи конфиденциальных данных. Последствия включают кражу информации, установку бэкдоров и проникновение во внутренние сети. Незащищённый сервер становится точкой отказа.
Ключевые индикаторы компрометации: создание подозрительных пользователей с именами "g.» или "7a0d26089ac528941bf8cb998d97f408m", изменение файла
MainUsers/default/user.xml, появление значения "last_logins" в этом файле, исчезновение элементов интерфейса и неожиданное отображение кнопки "Admin" у обычных пользователей. Для расследования проверьте время изменения
user.xml, сопоставьте логи админ-доступа с внешними IP, проаудируйте права на критичных папках, изучите журналы на предмет необычных действий новых учётных записей или эскалации привилегий. CrushFTP рекомендует восстановить файл
default/user.xml из резервной копии и проанализировать отчёты о передачах файлов. Дополнительные меры: ограничьте IP-адреса для администрирования, настройте allowlist для подключений к серверу, разверните CrushFTP в DMZ для корпоративного использования, активируйте автообновления. Характер текущих атак с использованием CVE-2025-54309 пока не детализирован. Однако CrushFTP — повторяющаяся цель: в апреле 2025 через CVE-2025-31161 (CVSS 9.8) распространялся MeshCentral, а в 2024 CVE-2024-4040 (CVSS 9.8) использовался против американских организаций. Этот тренд требует пересмотра моделей угроз, политик обновлений, анализа рисков файлообмена и мониторинга нулевых дней.
