CrushFTP снова под атакой: бэкдоры, фейковые учётки и невидимый вход в админку
NewsMakerМиллиарды корпоративных файлов перекочевали в даркнет из-за CVE-2025-54309.
Сервис CrushFTP столкнулся с новой критической уязвимостью, которая уже используется в реальных атаках. Уязвимость получила идентификатор CVE-2025-54309 и оценку 9.0 по шкале CVSS. Ошибка касается некорректной обработки проверки AS2, которая позволяет злоумышленникам получить административный доступ к серверу через HTTPS, если не используется прокси DMZ.
Компания CrushFTP сообщила , что впервые зафиксировала использование этой уязвимости 18 июля 2025 года. Однако команда признала, что уязвимость могла быть эксплуатирована и раньше. Как пояснили разработчики, изначально был исправлен другой баг, связанный с AS2, но злоумышленники, заметив изменения в коде, сумели обратить внимание на старую ошибку и адаптировали её для новой атаки.
CrushFTP активно используется в сферах, где передаются конфиденциальные данные — в правительственных структурах, здравоохранении и крупном бизнесе. Поэтому полученный злоумышленниками доступ к административному интерфейсу представляет серьёзную угрозу. Нарушители могут красть файлы, устанавливать бэкдоры и проникать глубже в корпоративную инфраструктуру, используя доверие к CrushFTP как точке входа. Без изоляции через DMZ сервер становится уязвимым звеном во всей архитектуре безопасности.
По словам компании, злоумышленники смогли восстановить структуру исходного кода и таким образом выявили эксплуатируемую брешь, которая, как предполагается, существовала в версиях CrushFTP, выпущенных до 1 июля.
Среди признаков компрометации разработчики перечислили следующие:
В качестве мер защиты CrushFTP предлагает:
С учётом регулярных атак, в которых используются ранее неизвестные критические ошибки в CrushFTP, становится очевидно, что данная система остаётся приоритетной целью в рамках сложных и целенаправленных кампаний. Организациям следует учитывать этот фактор в оценке уровня угроз, уделяя внимание не только своевременным обновлениям, но и контролю стороннего ПО для обмена файлами и управлению правами доступа.
Сервис CrushFTP столкнулся с новой критической уязвимостью, которая уже используется в реальных атаках. Уязвимость получила идентификатор CVE-2025-54309 и оценку 9.0 по шкале CVSS. Ошибка касается некорректной обработки проверки AS2, которая позволяет злоумышленникам получить административный доступ к серверу через HTTPS, если не используется прокси DMZ.
Компания CrushFTP сообщила , что впервые зафиксировала использование этой уязвимости 18 июля 2025 года. Однако команда признала, что уязвимость могла быть эксплуатирована и раньше. Как пояснили разработчики, изначально был исправлен другой баг, связанный с AS2, но злоумышленники, заметив изменения в коде, сумели обратить внимание на старую ошибку и адаптировали её для новой атаки.
CrushFTP активно используется в сферах, где передаются конфиденциальные данные — в правительственных структурах, здравоохранении и крупном бизнесе. Поэтому полученный злоумышленниками доступ к административному интерфейсу представляет серьёзную угрозу. Нарушители могут красть файлы, устанавливать бэкдоры и проникать глубже в корпоративную инфраструктуру, используя доверие к CrushFTP как точке входа. Без изоляции через DMZ сервер становится уязвимым звеном во всей архитектуре безопасности.
По словам компании, злоумышленники смогли восстановить структуру исходного кода и таким образом выявили эксплуатируемую брешь, которая, как предполагается, существовала в версиях CrushFTP, выпущенных до 1 июля.
Среди признаков компрометации разработчики перечислили следующие:
- учётная запись по умолчанию получила административные права;
- появились случайные длинные имена пользователей, например: 7a0d26089ac528941bf8cb998d97f408m;
- были созданы дополнительные пользователи с правами администратора;
- файл «MainUsers/default/user.xml» оказался недавно изменённым, особенно в поле «last_logins»;
- в веб-интерфейсе исчезли стандартные кнопки, а у обычных пользователей появилась возможность входа как администратор.
В качестве мер защиты CrushFTP предлагает:
- восстановить пользовательскую конфигурацию из резервной копии;
- изучить отчёты о загрузках и выгрузках файлов на предмет подозрительной активности;
- ограничить IP-адреса, с которых разрешены административные действия;
- задать список доверенных IP-адресов, допускаемых к серверу;
- использовать DMZ-серверы для корпоративного применения;
- включить автоматические обновления.
С учётом регулярных атак, в которых используются ранее неизвестные критические ошибки в CrushFTP, становится очевидно, что данная система остаётся приоритетной целью в рамках сложных и целенаправленных кампаний. Организациям следует учитывать этот фактор в оценке уровня угроз, уделяя внимание не только своевременным обновлениям, но и контролю стороннего ПО для обмена файлами и управлению правами доступа.