Veri Güvenliği, Yönetişim ve Risk Yönetimi, Yama Yönetimi
Saldırganlar, yamalı sürüm numarasını görüntülemek için dosya aktarım sunucusu yazılımını değiştirir
Mathew J. Schwartz (Euroinfosec) •
21 Temmuz 2025
İnternet taramalarına göre, bir Nevada şirketi tarafından yapılan bir Nevada şirketi tarafından yapılan bir Nevada şirketi tarafından yapılan bir şirket tarafından yapılan bir şirket tarafından yapılan bir şirket tarafından yapılan bir şirket tarafından yapılan bir şirket tarafından yapılan bir şirket tarafından yapılan bir şirket tarafından hala aktiftir.
Nevada merkezli crushftp Cuma günü açıklandı “1 Temmuz’dan önce kabaca” yayınlanan yazılım yapılarında aktif olarak sömürülen bir kusur.
Şirket, “Bilgisayar korsanları görünüşe göre kodumuzu tersine çevirdi ve zaten düzelttiğimiz bir hata buldu. Yeni sürümlerde güncel kalmayan herkes için sömürüyorlar.” Dedi. Shadowserver Vakfı, Pazar gününden itibaren, öncelikle Amerika Birleşik Devletleri, Almanya ve Kanada’da olmak üzere 1.040 tamamlanmamış örnek olduğunu tespit ettiğini söyledi.
CVE-2025-54309 olarak izlenen güvenlik açığı, yazılımın, dosya transfer amaçları da dahil olmak üzere yapılandırılmış iş verilerinin iletilmesi için HTTP tabanlı bir protokol olan Uygulanabilirlik Beyanı İkinci için Doğrulama İşlemini içerir. Kusur, uzak saldırganların korunmasız alternatif HTTPS kanalı aracılığıyla yönetici erişimi elde etmelerini sağlar. Crushftp, güvenlik açığının bir DMX proxy özelliği uygulamasını etkilemediğini söyledi.
Şirket, Cuma günü saat 14:00 UTC civarında Wild-Saldırıları gözlemlemeye başladığını söyledi. Bilgisayar korsanları, AS2 ile ilgisiz bir HTTPS sorununu çözen yakın tarihli bir yamaya baktı. Kodlayıcılar, kusurun da kullanılabileceğinin farkında değildi. AS2, tüm tarafların verilerin gönderildiğini ve alındığını kabul etmesi için verileri güvenli bir şekilde aktarmak için bir spesifikasyondur.
Yazılımın savunmasız sürümleri, 10.8.5’in altındaki tüm sürüm 10 yapılarını ve 11.3.4_23’ün altındaki tüm sürümleri içerir.
Yönetilen dosya aktarım yazılımı, birkaç yıldır dikkate değer hacklerde başrol oynadı. Clop, yani CL0P, özellikle gasp grubu, 2020 ve 2021, Fortra/Linoma Gowhere Where Where Where MFT sunucularının 2023’ün başlarında ve Cleo Communication ‘Harmony Morting’in Mayıs ayında MFF Sunucuları ve Cleo Communication’ Harmony Where MFF Sunucularının gösterildiği gibi, popüler MFT araçlarında daha önce hiç görülmemiş kusurları tanımlamaya zaman ve enerji ayırdı. 2024.
Hacked yazılımı sahte sürüm numarasını gösterir
Crushftp Cuma günü kullanıcıları Web arayüzünde gördükleri herhangi bir sürüm numarasına güvenmemeleri ve yazılım yüklemelerine bağlı karmaşıkları doğrulamaları konusunda uyardı. “Bilgisayar korsanları versiyonu yanlış bir güvenlik duygusu vermek için sahte bir sürüm sergiliyor.” Dedi. “MD5 karmalarını karşılaştırmak ve crushftp’e yüklemiş olabilecekleri ekstra kodu aramak için ‘Hashes işlevini doğrula’ sağlıyoruz.”
Şirketin güvenlik uyarısı, varsayılan kullanıcı – veya yakın zamanda oluşturulan diğer kullanıcı adları gibi, yönetici haklarına sahip olmak, garip bir şekilde adlandırılmış ve daha önce hiç görülmemiş kullanıcıların görünümünü “7A0D26089aC528941bf8cb998d97f408m” veya görüyor default user.xml Dosya yakın zamanda değiştirildi.
Crushftp, yazılımın yamalı bir versiyonuna güncellenmenin, kusurdan yararlanmak için herhangi bir girişim engellediğini ve yeni sürümlerle güncel tutan kullanıcıların zaten korunduğunu söyledi.
Güncellendikten sonra, hacklenen yazılımı olan herhangi bir kullanıcının “önceki varsayılan kullanıcıyı yedekleme klasörünüzden istismardan önce geri yüklemeli” dedi.
Pazartesi itibariyle, mevcut en son sürümler 10.8.5 ve 11.3.5 idi. Değişiklik günlüğüne göre, ikincisi “gelecekteki benzer istismar saldırılarını teorik olarak önlemek için ek kullanıcı adı filtreleme” içerir.
Gelecekte benzer herhangi bir saldırı türünü daha iyi engellemek için Crushftp, yazılımı yönetmek için kullanılabilecek IP adreslerinin sınırlanmasını, sunucuya bağlanmasına izin verilen IP adreslerini kısıtlamak için beyaz listeler kullanarak ve yazılımın otomatik olarak güncellemesine izin vermek için yazılım tercihlerini ayarlamanızı önerir.
Rapid7’de bir personel güvenlik araştırmacısı olan Ryan Emmons, tüm kullanıcılara hemen yamalı bir sürüme yükseltmelerini tavsiye etti. Ayrıca DMZ’nin saldırganların güvenlik açığından yararlanmasını engelleyip önlemeyeceğini sorguladı. “Dikkat bol miktarda, Rapid7, hafifletilmiş bir bölgeye (DMZ) bir hafifletme stratejisi olarak güvenmeyi tavsiye ediyor” dedi.
Crushftp, bu yılın başlarında CVE-2025-31161 olarak izlenen aktif olarak incelenmiş bir kimlik doğrulama bypass güvenlik açığı ile bir şöhrete sahipti. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bilinen sömürülen güvenlik açıkları listesine güvenlik açığını ekledi. Güvenlik açığı, yüksek riskli bir kusurun yanı sıra, Crushftp 21 Mart’ta müşterilere e -posta gönderdiğinde, bir CVE numarasıyla güvenlik açığını izlemeden bunu yaptığını ortaya çıkardıktan sonra tartışmalara neden oldu.
Vulncheck’teki bir araştırmacı, kusuru CVE -2025-2825 olarak belirlemek için şirketin kendi CVE numaralandırma otoritesini kullandı – görünüşe göre araştırmacıya gönderilen bir ekran görüntüsüne göre – Crushftp CEO’su Ben Spink’in bir yanıtı kışkırtmak – “, tuşunuzun, sahte öğenizi gönüllü olarak kaldırmasından bu yana açık bir şekilde açıklanmasından bu yana açık bir şekilde açıklanacaksa, itibarınız düşecektir. Hakkında hiçbir şey bilmiyorsun.
CVE programını çalıştıran federal olarak finanse edilen Araştırma ve Geliştirme Merkezi Miter, crushftp ile taraflı. Yasayı ilk gören siber güvenlik firması Outpost24’teki araştırmacılar, Crushftp’den 90 gün boyunca kamu açıklamasını geciktirmek için bir anlaşma yaptıklarını, ancak 13 Mart’ta MITER ile bir CVE numarası için başvurduklarını söyledi.