В последние дни наблюдается активная эксплуатация критической уязвимости нулевого дня (0-day) в серверах CrushFTP, что привело к компрометации систем по всему миру. Уязвимость, получившая идентификатор CVE-2025-54309, была впервые обнаружена в ходе атак 18 июля 2025 года в 9:00 по центральному времени США, однако эксперты предполагают, что злоумышленники могли начать эксплуатацию значительно раньше.
Подробности уязвимости и вектор атаки
Этот уязвимый вектор представляет собой пример сложного обратного инжиниринга, в рамках которого злоумышленники проанализировали исходный код CrushFTP и нашли способ эксплуатации уже исправленной уязвимости, оставшейся в устаревших версиях ПО. Метод атаки использует HTTP и HTTPS-протоколы, что делает его особенно опасным для систем, доступных из интернета.
Согласно заявлению разработчиков CrushFTP, данная уязвимость была устранена в последних версиях ПО, однако хакеры смогли обойти защитные механизмы, обнаружив способ эксплуатации старой ошибки в необновленных системах. Это подчеркивает критическую важность своевременного обновления программного обеспечения. Организации, использующие актуальные версии CrushFTP, оказались защищены от данной атаки.
Уязвимость затрагивает широкий спектр версий CrushFTP, включая все релизы версии 10 ниже 10.8.5 и версии 11 ниже 11.3.4_23. Считается, что она присутствовала в сборках, выпущенных до 1 июля 2025 года, что делает любые системы, развернутые в этот период, потенциально уязвимыми. Однако корпоративные клиенты, использующие DMZ-конфигурацию с размещением CrushFTP перед основными серверами, оказались защищены от данной угрозы, что демонстрирует преимущества правильной сегментации сети и многослойной защиты.
Для выявления компрометации систем администраторам следует обратить внимание на ряд ключевых индикаторов. Среди них - несанкционированные изменения в файле MainUsers/default/user.XML, включая появление записей «last_logins» и недавние изменения меток времени. Другими тревожными признаками являются получение учетной записью «default» прав администратора, создание длинных случайных идентификаторов пользователей, а также исчезновение элементов интерфейса из веб-панели.
Злоумышленники применяют сложные методы маскировки, включая подделку отображаемых версий ПО, чтобы ввести администраторов в заблуждение. Разработчики CrushFTP рекомендуют использовать функцию проверки хеша для выявления несанкционированных изменений в коде.
В свете текущей угрозы компаниям рекомендуется немедленно обновить CrushFTP до последней версии и внедрить дополнительные меры безопасности, включая белые списки IP-адресов и регулярные процедуры резервного копирования и восстановления. Игнорирование этих рекомендаций может привести к серьезным последствиям, включая утечку конфиденциальных данных и полный захват серверов злоумышленниками.
Эксперты по кибербезопасности предупреждают, что данная уязвимость уже активно используется в целевых атаках, а значит, организации должны действовать без промедления. Продолжение эксплуатации данной уязвимости может привести к новым волнам кибератак, направленных на корпоративный сектор и государственные структуры.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2025-54309
- https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025
