Разработчики CrushFTP предупреждают об уязвимости нулевого дня (CVE-2025-54309), которую уже используют хакеры. Проблема позволяет получить административный доступ к уязвимым серверам через веб-интерфейс.
По данным разработчиков, первые атаки были обнаружены 18 июля 2025 года, хотя, вероятно, эксплуатация уязвимости началась за день до этого.
По словам CEO CrushFTP Бена Спинка (Ben Spink), незадолго до этого в продукт внесли исправление, которое случайно заблокировало и эту 0-day-уязвимость. Хотя изначально патч был направлен на другую проблему и отключал по умолчанию редко используемую функцию AS2 через HTTP(S). В компании считают, что хакеры отреверсили код CrushFTP, обнаружили новый баг и начали использовать его на устройствах, где «случайный патч» еще не установлен.
«Мы полагаем, что эта ошибка присутствовала в сборках примерно до 1 июля 2025 года. В актуальных версиях CrushFTP проблема уже устранена, — сообщают в компании. — Вектор атаки использовал HTTP(S). Мы исправляли другую проблему, связанную с AS2 через HTTP(S), и тогда не понимали, что ошибка может использоваться иным способом. Похоже, хакеры заметили это изменение в коде и нашли способ эксплуатации прошлой уязвимости».
Сообщается, что атака осуществляется через веб-интерфейс программы в версиях до CrushFTP 10.8.5 и CrushFTP 11.3.4_23. Неясно, когда именно были выпущены эти версии, но разработчики пишут, что это произошло примерно 1 июля.
Теперь администраторам, которые предполагают, что их системы подверглись компрометации, рекомендуется восстановить конфигурацию пользователей по умолчанию из резервной копии, созданной до 16 июля. Признаки компрометации включают:
- подозрительные изменения в MainUsers/default/user.XML, особенно недавние модификации и наличие поля last_logins;
- новые имена пользователей уровня администратора, которые выглядят как случайный набор символов (например, 7a0d26089ac528941bf8cb998d97f408m).
Разработчики отмечают, что чаще всего они наблюдают модификации для пользователя по умолчанию, и это основной индикатор компрометации.
«В целом мы наблюдали, что именно дефолтного пользователя изменяли чаще всего. Причем изменяли таким образом, что конфигурация становилась формально невалидной, но при этом все еще работала для атакующего и ни для кого больше», — сообщил Спинк.
На данный момент неизвестно, использовались ли атаки на CrushFTP для кражи данных или распространения малвари. Однако решения для защищенной передачи файлов давно стали приоритетными целями для злоумышленников и особенно привлекательны для операторов программ-вымогателей. Например, вымогатель Clop известен тем, что часто распространялся через уязвимости в других популярных корпоративных продуктах, включая MOVEit Transfer, GoAnywhere MFT и Accellion FTA.