Watchtowr Labs, Crushftp’de sıfır gün istismarını (CVE-2025-54309) ortaya çıkarır. Güvenlik açığı, bilgisayar korsanlarının web arayüzü aracılığıyla yönetici erişimi kazanmasını sağlar. V10.8.5 veya v11.3.4’e güncelleme.
Yaygın olarak kullanılan bir dosya aktarım sunucusu olan Crushftp’de sıfır günlük bir güvenlik açığı, bilgisayar korsanları tarafından aktif olarak kullanılmaktadır. Siber güvenlik firması Watchtowr Labs, CVE-2025-54309 olarak izlenen bu kusurun aktif sömürüsünü keşfetti. Güvenlik açığı, 22 Temmuz 2025’te CISA Bilinen Sökülen Güvenlik Açıkları Kataloğuna kritik durumunu teyit ederek eklendi.
WatchTowr Labs’ın soruşturması, yazılımın 30.000’den fazla çevrimiçi örneği için kritik bir tehdit ortaya koydu. Resmi açıklamasında Crushftp, güvenlik açığının vahşi doğada 18 Temmuz 2025’in başlarında sömürüldüğünü doğruladı.
Şirket, yazılımın en son sürümlerinin sorunu zaten çözdüğünü kaydetti. Bilgisayar korsanları, şirketin farklı bir sorunu çözmek için yeni bir kod değişikliği yaptıktan sonra hatanın nasıl kullanılacağını anladılar ve yanlışlıkla saldırganlara karşı kırılganlığı ortaya çıkardı.
“Bu hatanın 1 Temmuz’dan önce inşa edildiğine inanıyoruz, kabaca… Crushftp’in en son sürümleri zaten sorunu yamalı. Sunucuyu nasıl kullanabilecekleri için HTTP (ler) idi. HTTP (ler) ‘de HTTP (ler) ile ilgili olarak, bu böceğin bu şekilde kullanılabileceğini fark ettiklerini fark etmemesi ve HACTER’larımızda kullanılabileceğini fark ettik. Crushftp’in ifadesi.
Sömürü açıkladı
WatchTowr Labs, saldırıyı olduğu gibi yakalamak için saldırgan göz adı verilen tescilli Honeypot ağını kullandı. Ekip, CrushftP için belirli bir sensör kullandı ve sensör ihlal edildiğinde hemen bir uyarı aldı.
Ham ağ trafiğinin analizi farklı bir model ortaya çıkardı: hızlı bir şekilde art arda, 1000 kez tekrarlanan iki benzer HTTP talebi gönderildi. İki istek arasındaki temel fark başlıklarındaydı.
İlk istek, dahili yönetim kullanıcısı Crusadmin’e işaret eden bir başlık içeriyordu, ikinci istek ise yapmadı. Bu davranış, iki görev kaynaklar için rekabet ettiğinde ortaya çıkan bir yarış durumunu ima etti ve sonuç, hangisinin ilk bittiğine bağlı.
Bu durumda, iki istek işlenecekti. İstekler çok özel bir sıraya varırsa, ikinci istek, uygun kimlik doğrulaması olmadan (sunucu saldırganın bir yönetici olduğunu düşündüğü gibi) Curnadmin kullanıcısı olarak yürüterek birincisinden yararlanabildi.
Oradan, hacker kimlik doğrulamasını atlayabilir ve daha sonra sunucunun tam kontrolünü alabilir, hassas dosyaları alabilir ve önemli hasara neden olabilir.
Saldırı, özellikle crushftp v10.8.5 ve crushftp v11.3.4_23’ten önceki sürümlerdeki yazılımın web arayüzü aracılığıyla gerçekleşir. Ana sunucularını izole etmek için bir DMZ crushftp örneği kullanan kurumsal müşterilerin etkilendiğine inanılmadığını lütfen unutmayın.
Bulgularını doğrulamak için WatchTowr Labs, saldırıyı çoğaltmak için kendi senaryolarını oluşturdu ve savunmasız bir örnekte yeni bir yönetici hesabı oluşturdu.
Ne yapmalısın
Araştırmacılara göre, Crushftp geliştiricileri, halka açık bir şekilde kullanıcılara uymadan son güncellemelerde bu sorunu sessizce yamaladı ve birçoğunu riske attı. Bu güvenlik açığının aktif olarak sömürüldüğü göz önüne alındığında, yazılımı en son yama sürümlerine hemen güncelleyerek sisteminizi güvence altına almak önemlidir.