Crushftp, kurumsal dosya aktarım çözümünde, savunmasız İnternet’e dönük sunuculara (ve muhtemelen bunlarda saklanan verilere) erişmek için uzak, kimlik doğrulanmamış saldırganlar tarafından kullanılabilecek kritik bir güvenlik açığını (CVE-2025-2825) düzeltmiştir.
Saldırganlar, özellikle fidye yazılımı çeteleri, MoveIT transferi, Cleo, Citrix ShareFile ve diğer kurumsal sınıf dosya aktarımı ve paylaşım çözümlerinde 0 günlük ve N-Day güvenlik açıklarından yararlanmak için bir tutkuya sahiptir.
Saldırganların önceki crushftp güvenlik açıklarından yararlandığı bilinmektedir, ancak şu anda bu sonuncunun aktif sömürü altında olduğuna dair bir kanıt veya kamu kavram kanıtı raporu yoktur.
CVE-2025-2825 HAKKINDA
Şirket, Cuma günü müşterilere gönderilen bir e -postada, “Bu güvenlik açığının sonuçta, açıkta kalan bir HTTP (S) bağlantı noktasının kimlik doğrulanmamış erişime yol açabileceğidir. Crushftp’in DMZ özelliğine sahipseniz, güvenlik açığı hafifletiliyor” dedi.
BT’de şirketin destek ekibi, güvenlik açığının tüm Crushftp V11 sürümlerini etkilediğini, ancak NVD CVE girişinin “Crushftp sürümleri 10.0.0 ila 10.8.3 ve 11.0.0 ila 11.3.0 etkilendiğini” belirtti.
Crushftp, bu güvenlik açığını ele almak için V11.2.3 ve 10.8.3 yayınladı ve müşterileri sunucu örneklerini mümkün olan en kısa sürede yükseltmeye çağırdı. Ayrıca, derhal yükseltme mümkün değilse, CrushftP’nin DMZ özelliğinin saldırılara karşı hafifletme görevi göreceğini tekrarladılar.
Crushftp sunucularına erişimi sınırlamak – yani, bunları internetten erişilemez hale getirir – kullanım durumunuz buna izin verirse de iyi bir fikirdir.