Исследователи кибербезопасности обнаружили активную эксплуатацию уязвимости удаленного выполнения кода в Monsta FTP - веб-клиенте для работы с FTP-серверами, который широко используется финансовыми учреждениями, корпоративными клиентами и индивидуальными пользователями по всему миру. Данная уязвимость, получившая идентификатор CVE-2025-34299, затрагивает все версии программного обеспечения до 2.11.2 включительно и позволяет злоумышленникам выполнять произвольный код на уязвимых серверах без необходимости аутентификации.
Детали уязвимости
Изначально специалисты лаборатории watchTowr Labs изучали более раннюю уязвимость в версии 2.10.4 в рамках своего процесса реагирования на угрозы. Однако последующий анализ показал, что ранее сообщенные уязвимости в версии 2.10.3 никогда не получали адекватного исправления в последующих релизах, включая самую свежую версию на момент обнаружения проблемы. Примечательно, что разработчики добавили расширенные функции валидации входных данных в версии 2.11, но эти меры безопасности не смогли устранить основную уязвимость. Новые механизмы фильтрации, содержащиеся в файле inputValidator.php, обеспечили определенные улучшения безопасности, однако фактически не ликвидировали возможность удаленного выполнения кода.
Механизм атаки основан на эксплуатации функции downloadFile в Monsta FTP, которая позволяет приложению получать файлы с внешних SFTP-серверов. Злоумышленники могут использовать эту функциональность через специально сформированный HTTP-запрос, который инструктирует Monsta FTP подключиться к контролируемому злоумышленниками вредоносному SFTP-серверу, загрузить полезную нагрузку и записать ее в произвольное место на целевом сервере. Для успешной атаки не требуется аутентификация, а вся операция выполняется путем отправки единственного POST-запроса к уязвимой конечной точке. После записи вредоносного файла в веб-доступный каталог злоумышленники получают возможность выполнять произвольный код на сервере, что потенциально приводит к полному компрометированию системы.
Разработчики Monsta FTP выпустили версию 2.11.3 26 августа 2025 года, которая устраняет уязвимость удаленного выполнения кода. Официальный идентификатор CVE-2025-34299 был присвоен данной уязвимости 4 ноября 2025 года. Организациям, использующим Monsta FTP, рекомендуется немедленно обновиться до версии 2.11.3 или более поздней для защиты от активных попыток эксплуатации. Между тем, стоит отметить, что уязвимости типа RCE (Remote Code Execution - удаленное выполнение кода) представляют особую опасность, поскольку позволяют злоумышленникам полностью контролировать затронутые системы.
Данное открытие подчеркивает сохраняющиеся проблемы неполного устранения уязвимостей в сторонних программных компонентах, особенно тех, которые написаны на PHP и имеют доступ в интернет. Эксперты по безопасности рекомендуют проводить тщательный аудит веб-инструментов для управления файлами и внедрять дополнительные меры контроля безопасности, такие как сегментация сети и ограничения доступа. Кроме того, важно регулярно обновлять программное обеспечение и мониторить подозрительную активность на серверах. В частности, организациям следует обращать внимание на неожиданные исходящие подключения к неизвестным SFTP-серверам и необычную файловую активность в веб-доступных каталогах.
Обнаружение этой уязвимости также демонстрирует важность комплексного подхода к безопасности веб-приложений. Добавление функций валидации входных данных, безусловно, является полезной мерой, но без устранения фундаментальных архитектурных недостатков такие улучшения могут оказаться неэффективными. Специалисты рекомендуют внедрять многоуровневую защиту, включая применение WAF (Web Application Firewall - межсетевой экран веб-приложений), регулярное проведение пентестов и строгое следование принципу минимальных привилегий при настройке серверов. В случае с Monsta FTP особенно важно ограничить доступ к административным интерфейсам и обеспечить надлежащую сегментацию сетевой инфраструктуры.
Проблема неполного исправления уязвимостей, выявленная в данном случае, является распространенным явлением в мире кибербезопасности. Зачастую разработчики сосредотачиваются на устранении симптомов, а не на решении глубинных проблем архитектуры приложения. Следовательно, организациям необходимо не только своевременно устанавливать обновления, но и проводить независимую проверку эффективности исправлений, особенно для критически важных систем. Регулярный мониторинг источников угроз и участие в программах обмена информацией о кибербезопасности могут помочь своевременно выявлять подобные проблемы и принимать соответствующие защитные меры до начала массовой эксплуатации уязвимостей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-34299
- https://labs.watchtowr.com/whats-that-coming-over-the-hill-monsta-ftp-remote-code-execution-cve-2025-34299/
- https://www.vulncheck.com/advisories/monsta-ftp-unauthenticated-arbitrary-file-upload
- https://www.monstaftp.com/notes/
