Crushftp sunucularında kritik bir sıfır günlük güvenlik açığı, tehdit aktörleri tarafından dünya çapında sistemleri tehlikeye atmak için aktif olarak sömürülmektedir.
Güvenlik araştırmacıları, saldırıların tespitten önce daha uzun süre devam edebileceğine inanmasına rağmen, ilk olarak CVE-2025-54309 olarak adlandırılan güvenlik açığı ilk olarak 18 Temmuz’da saat 09: 00’da aktif sömürüde gözlemlenmiştir.
Güvenlik Açığı Detayları ve Saldırı Vektörü
Güvenlik kusuru, saldırganların, modası geçmiş kurulumlarda mevcut kalan daha önce yamalı bir güvenlik açığını tanımlamak ve kullanmak için CrushftP’nin kod tabanını analiz ettiği sofistike bir ters mühendislik vakasını temsil eder.
Saldırı vektörü, savunmasız sunucuları tehlikeye atmak için HTTP ve HTTPS protokollerini kullanır ve bu da internete bakan kurulumlar için özellikle tehlikeli hale getirir.
| Alan | Detaylar |
| CVE kimliği | CVE-2025-54309 |
| Keşif tarihi | 18 Temmuz 2025, 09:00 CST |
| Saldırı vektörü | HTTP/HTTPS |
| Etkilenen sürümler | Sürüm 10 <10.8.5, sürüm 11 <11.3.4_23 |
CrushftP’nin güvenlik danışmanlığına göre, güvenlik açığı, geliştiricilerin son sürümlerde zaten ele aldığı bir hatadan kaynaklanıyor, ancak saldırganlar eski yapıları etkileyen aynı temel sorunun nasıl kullanılacağını keşfetti.
Şirket, bilgisayar korsanlarının kod değişikliklerini tersine çevirdiğini ve güncellenmemiş sistemlerde önceden var olan güvenlik açığından yararlanmak için bir yöntem belirlediğini belirtti.
Bu, güncel yazılım sürümlerini sürdürmenin kritik önemini vurgulamaktadır, çünkü güncel crushftp kurulumları bu sömürü girişiminden korunur.
Etkilenen sistemler ve versiyonlar
Güvenlik açığı, iki ana sürüm şubesinde önemli bir crushftp kurulumunu etkiler. 10.8.5’in altındaki tüm crushftp sürüm 10 kurulumları, 11.3.4_23’ün altındaki tüm sürüm 11 kurulumları gibi bu istismara duyarlıdır.
Güvenlik açığı, 1 Temmuz’dan önce oluşturulan yapılarda mevcut gibi görünmektedir ve bu zaman aralığından herhangi bir kurulumun potansiyel olarak saldırıya karşı savunmasız olmasını sağlar.
Ana sunucularının önünde konumlandırılmış bir DMZ crushftp yapılandırması kullanan kurumsal müşteriler, uygun ağ segmentasyonunun ve katmanlı savunma stratejilerinin güvenlik avantajlarını göstererek bu özel güvenlik açığından etkilenmez.
Kuruluşlar potansiyel uzlaşmayı birkaç temel gösterge ile belirleyebilir. Etkilenen sistemler genellikle “Last_logins” girişlerinin varlığı ve son değişiklik zaman damgaları dahil olmak üzere MainUsers/Varsayılan/User.xml dosyasında yetkisiz değişiklikler gösterir.
Ek işaretler, Varsayılan Kullanıcının Yönetici Erişim kazanma, uzun rastgele kullanıcı kimliklerinin oluşturulması ve son kullanıcı web arayüzünden düğmelerin kaybolması yer alır.
Tehdit aktörleri, yanlış sürüm numaralarını göstermek için sürüm ekranlarını manipüle etme, yöneticiler için aldatıcı bir güvenlik duygusu oluşturma da dahil olmak üzere sofistike kaçırma teknikleri kullandılar.
Kuruluşlar derhal en son Crushftp sürümlerini güncellemeli ve IP beyaz listesi ve düzenli yedekleme restorasyon prosedürleri gibi önerilen güvenlik önlemlerini uygulamalıdır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now