Crushftp’de yeni açıklanan kritik güvenlik kusurları, vahşi doğada aktif sömürü altına girmiştir. CVE tanımlayıcısına atandı CVE-2025-54309güvenlik açığı 9.0 CVSS skoru taşır.
“Crushftp 10 10.8.5 ve 11 11.3.4_23’ten önce, DMZ proxy özelliği kullanılmadığında, AS2 validasyonu ve sonuç olarak uzak saldırganların HTTP’ler aracılığıyla yönetici erişimi elde etmesine izin verir”,
Crushftp, bir danışmanlıkta, ilk olarak 18 Temmuz 2025, 09:00 CST’de vahşi doğada kırılganlığın sıfır gün sömürüsünü tespit ettiğini, ancak çok daha önce silahlandırılmış olabileceğini kabul ettiğini söyledi.
Şirket, “Saldırı vektörü sunucuyu nasıl kullanabilecekleri için HTTP (ler) idi.” Dedi. Diyerek şöyle devam etti: “Bu istismar gibi önceki bir hatanın kullanılabileceğini fark etmeden HTTP (ler) in AS2 ile ilgili farklı bir sorunu çözdük. Bilgisayar korsanları görünüşe göre kodumuzu gördü ve önceki hatayı kullanmanın bir yolunu buldu.”
Crushftp, hassas dosya transferlerini yönetmek için hükümet, sağlık ve kurumsal ortamlarda yaygın olarak kullanılmaktadır ve bu da idari erişimi özellikle tehlikeli hale getirir. Uzaklaştırılmış bir örnek, saldırganların verileri dışarı atmasına, backdoorları enjekte etmesine veya güvenilir değişim için sunucuya dayanan dahili sistemlere dönmesine izin verebilir. DMZ izolasyonu olmadan, maruz kalan örnek tek bir başarısızlık noktası haline gelir.
Şirket, kötü niyetli etkinliğin arkasındaki bilinmeyen tehdit aktörlerinin kaynak kodunu tersine çevirmeyi başardığını ve henüz en son sürümlere güncellenmemiş cihazları hedeflemek için yeni kusuru keşfettiğini söyledi. CVE-2025-54309’un 1 Temmuz’dan önce Crushftp Builds’te bulunduğuna inanılıyor.
Crushftp ayrıca aşağıdaki uzlaşma göstergelerini (IOCS) yayınladı –
- Varsayılan kullanıcının yönetici erişimi var
- Oluşturulan uzun rastgele kullanıcı kimlikleri (örn. 7A0D26089AC528941BF8CB998D97F408M)
- Yönetici erişimi ile oluşturulan diğer yeni kullanıcı adları
- “MainUsers/Varsayılan/User.xml” dosyası yakın zamanda değiştirildi ve içinde “Last_logins” değeri var
- Son kullanıcı web arayüzünden gelen düğmeler kayboldu ve daha önce normal kullanıcılar olarak tanımlanan kullanıcıların artık bir yönetici düğmesi var
Olası uzlaşmayı araştıran güvenlik ekipleri User.xml değişiklik sürelerini gözden geçirmeli, yönetici giriş olaylarını genel IP’lerle ilişkilendirmeli ve yüksek değerli klasörlerde denetim izni değişiklikleri. Ayrıca, yeni oluşturulan kullanıcılara veya açıklanamayan yönetici rol artışlarına bağlı erişim günlüklerinde şüpheli kalıplar aramak da önemlidir;
Mitigations olarak şirket, kullanıcıların önceki varsayılan bir kullanıcıyı yedekleme klasöründen geri yüklemesini ve şüpheli transfer belirtileri için yüklemeyi/indirme raporlarını incelemelerini önerir. Diğer adımlar arasında –
- İdari eylemler için kullanılan IP adreslerini sınırlayın
- Crushftp sunucusuna bağlanabilen izin verilen IP’ler
- Kurumsal kullanım için DMZ crushftp örneğine geçin
- Otomatik güncellemelerin etkin olduğundan emin olun
Bu aşamada, kusurdan yararlanan saldırıların kesin doğası bilinmemektedir. Bu Nisan ayının başlarında, aynı çözümdeki başka bir güvenlik kusuru (CVE-2025-31161, CVSS skoru: 9.8), meshcentral ajanı ve diğer kötü amaçlı yazılımları sunmak için silahlandırıldı.
Geçen yıl, CrushFTP’yi (CVE-2024-4040, CVSS skoru: 9.8) etkileyen ikinci bir kritik güvenlik açığının, tehdit aktörleri tarafından birden fazla ABD varlığını hedeflemek için kaldırıldığı ortaya çıktı.
Geçtiğimiz yıl boyunca çok sayıda yüksek şiddetli CVVE’den yararlanan Crushftp, gelişmiş tehdit kampanyalarında tekrar eden bir hedef olarak ortaya çıktı. Kuruluşlar, bu modeli, yama kadansı, üçüncü taraf dosya aktarım riskleri ve uzaktan erişim araçlarını ve kimlik bilgisi uzlaşmasını içeren sıfır gün algılama iş akışlarının yanı sıra daha geniş tehdit maruziyet değerlendirmelerinin bir parçası olarak görmelidir.