Crushftp tarafından yönetilen dosya transfer platformunda kritik bir sıfır günlük kusur, satıcı ve tehdit istihbarat kaynakları 18 Temmuz 2025’te 09:00 CST’de aktif sömürü onayladıktan sonra doğrulandı.
CVE-2025-54309 olarak izlenen hata, kimlik doğrulanmamış saldırganların HTTPS üzerinden savunmasız sunucuların tam idari kontrolünü almalarını sağlar.
Crushftp, sorunun 1 Temmuz civarında piyasaya sürülen yapılarda yanlışlıkla çözüldüğünü, ancak güncellemeyi geciktiren binlerce kuruluşun artık potansiyel hedefler olduğunu söyledi.
Crushftp 0 günlük güvenlik açığı sömürüldü
Crushftp mühendisleri, bu yaz başlarında ilgisiz bir AS2 hatasını düzeltirken ihlali eksik doğrulama mantığına bağladı. Temmuz kodunu inceledikten sonra, saldırganlar değişikliği tersine çevirdiler ve amaçlanan kontrollerin etrafında kötü niyetli HTTP (ler) taleplerini yönlendirmenin bir yolunu keşfettiler.
DMZ Proxy özelliği dağıtılmadığında, istismar, davetsiz misafir yöneticisi ayrıcalıklarına, yeni kullanıcılar, sifon verileri oluşturabilecekleri veya kurumsal ağların içinde yanal olarak hareket edebilecekleri bir “Tanrı modu” oturumu verir.
Rapid7 ve Tenable Oran CVSS V3.1 Ölçeği üzerindeki Kusur 9.0+ Ağ vektörü, sıfır tıkanma doğası ve tam konakçı uzlaşma potansiyeli nedeniyle.
Shadowserver Honeypots, CrushftP ifşa edilmesinden sonraki saatler içinde sömürü denemeleri kaydetmeye başladı ve 2025 Bahar CVE-2025-31161 kimlik doğrulama bypass’ı takip eden önceki kütle tarama dalgalarını yineledi.
Etkilenmiş sürümler
| Ürün dalı | Güvenli yapı veya daha yeni | Yama Öncesi Durum | Notalar |
|---|---|---|---|
| Crushftp 11 | 11.3.4_23 | <11.3.4_23 | 11.3.4_26 Mevcut “hızlı” rulo |
| Crushftp 10 | 10.8.5 | <10.8.5 | 10.8.5_12 18 Temmuz yayınlandı |
Düzgün yapılandırılmış bir Crushftp DMZ örneği ile ön plana çıkarılan kurulumların istismar yolunu engellediğine inanılıyor, ancak Rapid7 sadece bu mimariye güvenmeye karşı sadece uzun vadeli bir savunma olarak dikkat ediyor.
Uzlaşma göstergeleri
Yöneticiler derhal denetlemelidir:
users/MainUsers/default/user.XML– beklenmedik varlık- Yeni yüksek entropi kullanıcı adları (örneğin,
7a0d26089ac528941bf8cb998d97f408m) ileadminayrıcalıklar. - Son kullanıcı portalındaki UI öğeleri eksik veya sıradan hesaplarda bir “Yönetici” düğmesinin ani görünümü.
- Veri evrelemesini gösteren olağandışı giden trafik modelleri.
Günlükler, saldırganların önceki crushftp kampanyalarından komut dosyalarını geri dönüştürdüğünü, hızlı kullanıcı oluşturmayı ve ardından toplu dosya indirmelerini veya uzaktan kabuk damlalarını hedeflediğini gösterir.
- Şimdi Yama – 11.3.4_23 / 10.8.5 veya üstüne yükseltin; Gelecek sürümler için otomatik güncellemeleri etkinleştirin.
- Varsayılanları geri yükle – Uzlaşma şüpheleniliyorsa, geri dönün
default16 Temmuz’dan önce bir yedeklemeden kullanıcı ve Rogue hesaplarını temizleyin. - Denetim transferleri – Şüpheli etkinlik için 16-18 Temmuz arasındaki raporları yükleyin/indirin.
- Harden Erişim -Yönetici ve WebInterface IP aralıklarını kısıtlayın, sadece MFA ve HTTPS’yi uygulayın ve mümkün olan bir DMZ proxy dağıtır.
- İzlemek – Satıcı ve sertifika danışmanlarına abone olun; RAPID7 tarafından yayınlanan ve CVE-2025-54309 trafik için Tenable IDS imzalarından yararlanın.
CVE-2025-54309, VFS Sandbox Escape (CVE-2024-4040) ve AWS4-HMAC yarış-koşul bypass (CVE-2025-31161) sonrasında 15 ay içinde CrushftP’nin üçüncü yüksek etkili sıfır günüdür.
Kusurların geçit töreni, fidye yazılımı gruplarına ve casusluk aktörlerine dosya transfer hizmetlerinin stratejik değerini vurgulayan Moveit, Goanywhere MFT ve Acccellion FTA’yı içeren tedarik zinciri ihlallerini yansıtıyor.
Shodan endeksleri çevrimiçi 5.000’den fazla crushftp örneğini ortaya koyuyor; 2024’ün önceki verileri, kritik bir danışmanlıktan haftalar sonra en az 1.400’ün açılmamış kaldığını gösterdi.
Kamuoyu kavram kanıtı sömürü ile yüzeye çıkması muhtemel, analistler fırsatçı kitle sömürüsünün önümüzdeki günlerde artabileceği konusunda uyarıyorlar.
Crushftp’in Build 11.3.4_26’nın hızlı sürümü, acil tehdidi azaltıyor, ancak dosya transfer cihazlarını “set ve koruma” kamu hizmetleri olarak ele alan işletmeler savunmasız kalıyor. Yama yönetimi, ağ segmentasyonu ve uyanık günlük incelemesi bir kez daha en önemli önceliklerdir.
Henüz yükseltme kuruluşları için en güvenli varsayım, yedeklemelerden ihlal geri yüklemesidir, kimlik bilgilerini döndürür ve potansiyel olay yanıt araştırmalarına hazırlanır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi