Crushftp dosya aktarım sunucularında yeni bir sıfır gün güvenlik açığı, siber suçlular tarafından aktif olarak kullanılmakta ve dünyadaki sistemleri tehlikeye atmaktadır. CVE-2025-54309 olarak izlenen crushftp sıfır gün güvenlik açığı ilk olarak 18 Temmuz 2025’te aktif sömürüde gözlendi.
Crushftp’deki bu sıfır günlük güvenlik açığı, savunmasız sunuculara sızmak için hem HTTP hem de HTTPS protokollerini kullanan saldırı vektörünün gizli doğası nedeniyle özellikle tehlikelidir. Bu, CrushftP’nin internete dönük örneklerini, hemen yamalanmamışsa, özellikle yetkisiz erişime duyarlı hale getirir.
CVE-2025-54309: Güvenlik açığı ayrıntıları ve kökenleri
Önceki güncellemelerde teknik olarak ele alınan ancak modası geçmiş kurulumlarda sömürülebilir kalan bir kusuru ortaya çıkarmak ve silahlandırmak için CVE-2025-54309 tersine mühendislik kod tabanının arkasındaki saldırganlar. Bu, düzenli yama döngülerine uymayan kuruluşların artık bu aktif tehdide karşı savunmasız olduğu anlamına geliyor.
Resmi bir açıklamada, Crushftp, “Hackerlar görünüşe göre kodumuzu tersine çevirdi ve zaten düzelttiğimiz bir hata buldu. Yeni sürümlerde güncel kalmayan herkes için sömürüyorlar.” Şirket, istismar edilen hatanın binalarda var olduğuna inanıyor 1 Temmuz 2025’e kadar ve bu yeni sürümler, AS2 işlevselliğine yönelik ilgisiz güncellemeler sırasında sorunu HTTP (ler) üzerinden sessizce yamaladı.
Etkilenen sürümler
Güvenlik açığı aşağıdaki yapıları etkiler:
- Sürüm 10: 10.8.5’in altındaki tüm sürümler
- Sürüm 11: 11.3.4_23’ün altındaki tüm sürümler
Güncellemeyen bu sürümleri çalıştıran kullanıcılar, özellikle sunucuları doğrudan internet üzerinden erişilebilirse, zaten tehlikeye girebilir.
Uzlaşma belirtileri
Crushftp, sistem yöneticilerinin olası sömürüyü tespit etmesine yardımcı olacak bir gösterge listesi yayınladı:
- Varlığı “Last_logins” girişler user.xml (normalde mevcut değil)
- Son değişiklik zaman damgaları varsayılan user.xml dosya
- Varsayılan kullanıcının beklenmedik bir şekilde yönetici hakları vardır
- Garip, uzun rastgele kullanıcı kimlikleri (örn. 7A0D26089AC528941BFF8CB98D97F408M)
- Bilinmeyen Yönetici seviyesi hesapları oluşturuluyor
- Kullanıcı Arayüzü düğmelerinin kaybolması veya kullanıcı hesaplarında beklenmedik yönetici düğmeleri
- Gerçek sunucu durumunu maskelemek için saldırganlar tarafından kullanılan değiştirilmiş sürüm görüntüleri
Yöneticiler ayrıca, tehdit aktörlerinin etkilenen sistemlere ek yükler dağıtmak için önceki istismarlardan gelen komut dosyalarını yeniden kullandığı konusunda da uyarılıyor.
İyileştirme ve iyileşme
Bir ihlalden şüphelenen kuruluşların, varsayılan kullanıcı profilini 16 Temmuz 2025’ten önce oluşturulan bir yedeklemeden derhal geri yüklemeleri istenir. Yedekleme şunlarda bulunur:
süratli
Kopya
Crushftp/backup/kullanıcılar/MainUers/Varsayılan
Bu zip dosyaları yerel Windows çıkarma araçlarıyla uyumlu olmayabileceğinden, kullanıcılara 7-ZIP, Winrar, MacOS Arşivi Yardımcı Programı veya Winzip gibi yazılımları kullanmaları önerilir.
Yedeklemeler kullanılamıyorsa, varsayılan kullanıcının silinmesi, herhangi bir özel yapılandırma kaybedilse de, crushftp’yi yeniden yaratmasını tetikler.
Önleyici önlemler ve öneriler
Gelecekteki riskleri azaltmak için Crushftp aşağıdaki eylemleri önerir:
- Sunucuya erişebilen beyaz liste IP adresleri
- IP ile Yönetim Erişimini Kısıtlayın
- Kurumsal ortamlarda DMZ tabanlı bir crushftp proxy dağıtım
- Sunucu tercihlerinde otomatik güncellemeleri etkinleştirin
- Acil durum bildirimlerine kaydolun Crushftp Desteği
Şirket proaktif yama yapmanın önemini vurguladı: “güncel olan herkes bu istismardan kurtuldu.”