Crushftp’in dosya aktarım sunucusu yazılımındaki kritik bir güvenlik açığı, kusurun bir CVE atanmasından bir haftadan kısa bir süre sonra saldırıya uğradı.
Güvenlik açığı, CVE-2025-2825saldırganların kimlik doğrulamasını atlamasına ve dosya aktarım sunucusuna bağlantı noktası erişimi kazanmasına izin verir. Güvenlik araştırmacılarına göre kusur, uzaktan yürütülebileceği ve kullanımı kolay olduğu için CVSS puanı 9.8 aldı.
Bir X Post Pazartesi günü, Shadowserver Vakfı, halka açık bir konsept (POC) istismarına dayanan sömürü girişimlerini gözlemlediğini söyledi. Shadowserver’ın verileri, 30 Mart itibariyle CVE-2025-2825’e karşı savunmasız 1.512 açılmamış Crushftp örneği gösterdi; Bu sayı 28 Mart’ta yaklaşık 1.800 açılmamış sunucudan düştü.
Shadowserver’s’e göre raporsömürü girişimlerinin çoğunluğu, Avrupa ve Kuzey Amerika’dan az sayıda gelen Asya’daki IP adreslerinden kaynaklanmaktadır.
Siber Güvenlik Firması Project Discovery yayınlandı teknik detaylar ve 28 Mart’ta bir POC. Şirket, düşük karmaşıklığı ve ağ saldırısı vektörü nedeniyle CVE-2025-2825’in kuruluşlar üzerinde ciddi bir etkisi olabileceğini kaydetti.
Crushftp CEO’su Ben Spink, Cybersecurity Dive’a şirketin kimlik doğrulama baypas kusuru yoluyla birkaç müşteri uzlaşması raporu aldığını söyledi.
İfşa soruları, karışıklık
Crushftp, Rapid7’ye göre, müşterileri 21 Mart’ta e -posta yoluyla özel olarak özel olarak bilgilendirdi. Şirket daha sonra bir güvenlik danışmanlığı Koşulsuz HTTP (S) port erişimine crushftp v10-v11 crushftp. Bir CVE içermeyen danışmanlık, müşterileri hemen V11.3.1’e yükseltmeye çağırdı.
Ancak Rapid7, müşterilere e -posta bildirimi ile kamu danışmanlığı arasında bir tutarsızlık kaydetti. Rapid7, “Satıcı tarafından az sayıda ayrıntı sağlandı ve etkilenen sürümler etrafında bazı karışıklıklar vardı; ilk e -posta, yalnızca V11 <11.3.1'in savunmasız olduğunu, v10 <10.8.4'ün de savunmasız olduğunu belirtti." Dedi. teknik analiz.
Güvenlik açığı 26 Mart’ta bir CVE atandı. Ancak, Crushftp’in danışma sayfası hala bir CVE veya kimlik doğrulama baypası güvenlik açığı hakkında ek ayrıntı yok.
Karışıklıklara ek olarak, Crushftp’in Spink’in kimlik doğrulama baypası kusuru için gerçek CVE’nin, şu anda NIST’in Ulusal Güvenlik Açığı Veritabanında veya Miter’in CVE.org’una girişi olmayan CVE-2025-31161 olduğu iddiasıdır.
Siber Güvenlik Dalışına gönderilen bir e -postada Spink, siber güvenlik satıcısı Outpost24’ün kırılganlığı keşfettiğini ve bildirdiğini açıkladı. Bununla birlikte, başka bir siber güvenlik şirketinin, “keşfetmedikleri bir şey için kredi alarak” karışıklığı yarattığını ve Crushftp’in kamuya açık bir şekilde açıklamadan önce aynı güvenlik açığına farklı bir CVE atayarak yarattığını söyledi.
Spink, “İnsanların mümkün olduğunca acilen güncellemeye başlamalarını sağlamaya çalışıyorduk … istismarın ayrıntıları serbest bırakılmadan önce” diye yazdı Spink.
Ayrıca “çoğu” V10 sürümleri ve Crushftp’in tüm V11 sürümlerinin kusurdan etkilendiğini söyledi. Sprink, “E -posta sırasında, sadece V11 olduğuna inandık. E -postadan kısa bir süre sonra (birkaç dakika) bazı V10’ın bile etkilendiğini fark ettik ve bunu belirtmek için sayfayı güncelledik ve her ikisinin de etkilendiğini söyledik” diye yazdı.
Dosya Aktarım Ürünleri ve Hizmetleri fidye yazılımı çeteleri de dahil olmak üzere çeşitli tehdit aktörleri tarafından son yıllarda yoğun bir şekilde hedeflenmiştir. Aslında, bir crushftp sıfır günlük güvenlik açığı, CVE-2024-4040neredeyse saldırıya uğradı Bir yıl önce.