В мире информационной безопасности даже самые серьёзные технические уязвимости иногда уступают по своей распространённости и эффективности старым, как мир, методам социальной инженерии и простой халатности. Ярким примером этого парадокса стала новая волна атак на файловые серверы под управлением CrushFTP, популярного кроссплатформенного решения для передачи файлов, написанного на Java. Вместо того чтобы искать сложные векторы компрометации через известные уязвимости, злоумышленники используют элементарный перебор логинов и паролей по умолчанию, эксплуатируя человеческий фактор.
Описание
CrushFTP за последние полтора года пережил серию серьёзных инцидентов безопасности, связанных с критическими уязвимостями. Специалистам хорошо знакомы идентификаторы CVE-2024-4040, представлявший собой уязвимость типа «инъекция шаблонов», которая позволяла неаутентифицированным атакующим вырваться из песочницы виртуальной файловой системы (VFS) и добиться выполнения произвольного кода (RCE). Затем последовала CVE-2025-31161 - ошибка, приводящая к обходу аутентификации и фактической передаче учётной записи администратора "crushadmin" в руки злоумышленников. Летом 2025 года активно эксплуатировалась ещё одна уязвимость нулевого дня, CVE-2025-54309. Каждая из этих дыр требовала от атакующего определённого уровня технической подготовки и понимания внутреннего устройства системы.
Однако текущая кампания принципиально отличается. Как сообщают эксперты по кибербезопасности, наблюдения показывают не эксплуатацию конкретного бага в коде, а масштабные попытки простого перебора паролей, нацеленные на лениво сконфигурированные системы. Атака предельно примитивна: злоумышленники отправляют на целевые серверы HTTP-запросы методом POST, в которых параметры имени пользователя и пароля передаются прямо в строке запроса (GET-параметры), в то время как тело запроса остаётся пустым. Типичный запрос выглядит так:
| 1 2 3 4 5 6 | POST /WebInterface/function/?command=login&username=crushadmin&password=crushadmin HTTP/1.1 Host: [redacted] User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.5615.137 Safari/537.36 Content-Length: 0 Accept-Encoding: gzip Connection: close |
Фактически, это попытка входа с использованием пары логин-пароль «crushadmin:crushadmin».
Корень проблемы лежит в процессе начальной настройки CrushFTP. Во время установки система требует от администратора создать учётную запись с правами суперпользователя. Имя для этой записи не является жёстко заданным, но интерфейс установки предлагает пользователю несколько вариантов на выбор, среди которых - «crushadmin», «root» и «admin». При этом никакого пароля по умолчанию не существует, его необходимо задать вручную. Атакующие рассчитывают именно на тех системных администраторов, которые в погоне за скоростью развёртывания или по невнимательности оставляют в качестве пароля то же самое слово, что и логин, особенно если это предложенный системой вариант «crushadmin». Таким образом, безопасность целой инфраструктуры ставится под угрозу из-за элементарного пренебрежения базовыми правилами кибергигиены.
С технической точки зрения, подобные атаки относятся к классу brute-force, или перебора учётных данных. Хотя современные системы защиты, такие как Web Application Firewalls (WAF, межсетевые экраны веб-приложений) и подсистемы обнаружения вторжений (IDS), могут блокировать множественные попытки входа с одного IP-адреса, атакующие часто используют распределённые сети ботов или меняют исходные адреса. В данном конкретном случае активность исходит с IP-адреса 5.189.139[.]225, географически расположенного во Франции. Этот адрес, согласно данным телеметрии, имеет историю попыток эксплуатации простых, низко висящих плодов и проявляет активность с февраля текущего года. Его поведение типично для скрипт-кидди или автоматизированных бот-сетей, сканирующих интернет на наличие легкоуязвимых целей.
Последствия успешной подобной атаки могут быть столь же разрушительными, как и взлом через критическую RCE-уязвимость. Получив доступ к учётной записи администратора, злоумышленник получает полный контроль над файловым сервером. Это открывает путь к краже конфиденциальных данных, которые через CrushFTP передаются внутри компаний или между бизнес-партнёрами, установке вредоносного программного обеспечения, включая программы-вымогатели, или использованию скомпрометированного сервера в качестве плацдарма для атак на другие системы внутренней сети.
Меры противодействия в данной ситуации очевидны и не требуют дорогостоящих инвестиций в новые средства защиты.
- Абсолютно необходимо избегать использования стандартных или легко угадываемых учётных данных. Пароль должен быть уникальным, сложным и ни при каких обстоятельствах не совпадать с логином.
- Рекомендуется отключить или ограничить доступ к веб-интерфейсу администратора из публичной сети интернет, используя VPN или выделенные каналы связи.
- Следует включить многофакторную аутентификацию (MFA), если такая возможность поддерживается платформой.
- Регулярный аудит логов на предмет подозрительных попыток входа и интеграция CrushFTP в систему мониторинга безопасности (SOC) позволят обнаруживать атаки на ранней стадии. Этот инцидент лишний раз доказывает, что самая совершенная техническая защита может быть сведена на нет человеческой беспечностью, а фундаментом безопасности по-прежнему остаются базовые принципы конфигурации и администрирования.
Индикаторы компрометации
IPv4
- 5.189.139.225
