Crushftp, tehdit aktörlerinin CVE-2025-54309 olarak izlenen sıfır gün güvenlik açığından aktif olarak yararlandığını ve saldırganların savunmasız sunuculardaki web arayüzü aracılığıyla idari erişim kazanmalarını sağladığını uyarıyor.
Crushftp, kuruluşlar tarafından FTP, SFTP, HTTP/S ve diğer protokoller üzerinden dosyaları güvenli bir şekilde paylaşmak ve yönetmek için kullanılan bir kurumsal dosya aktarım sunucusudur.
Crushftp’e göre, tehdit aktörleri ilk olarak 18 Temmuz’da sabah 9’da CST’de güvenlik açığından yararlandığını tespit etti, ancak bir önceki günün erken saatlerinde başlamış olabilir.
Crushftp CEO’su Ben Spink, BleepingComputer’a HTTP (ler) de AS2 ile ilgili bir güvenlik açığını daha önce bu sıfır gün kusurunu da yanlışlıkla engelleyen bir güvenlik açığını düzelttiklerini söyledi.
SPINK, BleepingComputer’a verdiği demeçte, “Bu güvenlik açığını da engellemek için tesadüfen bir önceki düzeltme oldu, ancak önceki düzeltme farklı bir sorunu hedefliyor ve varsayılan olarak nadiren kullanılan bir özelliği kapatmaktı.”
Crushftp, tehdit aktörlerinin yazılımlarını tersine çevirdiğine ve bu yeni hatayı keşfettiğine ve yamalarında güncel olmayan cihazlarda sömürmeye başladığına inandığını söylüyor.
Crushftp’in danışmanlığı, “Bu hatanın 1 Temmuz’dan önce kabaca yapımlarda olduğuna inanıyoruz … Crushftp’in en son sürümlerinde sorunu zaten yamalı.”
“Saldırı vektörü, sunucuyu nasıl kullanabilecekleri için HTTP (ler) idi. HTTP (ler) de AS2 ile ilgili önceki hataların bu şekilde kullanılabileceğini fark etmediklerini fark ettik. Hackerlar kodumuzu değiştirdiğini gördük ve önceki hatayı kullanmanın bir yolunu bulduk.
“Her zaman olduğu gibi düzenli ve sık yama yapmayı öneriyoruz. Güncel olan herkes bu istismardan kurtuldu.”
Saldırı, crushftp v10.8.5 ve crushftp v11.3.4_23 öncesi sürümlerdeki yazılımın web arayüzü aracılığıyla gerçekleşir. Bu sürümlerin ne zaman yayınlandığı belirsiz, ancak Crushftp 1 Temmuz civarında diyor.
Crushftp, güncel tutulan sistemlerin savunmasız olmadığını vurgular.
Ana sunucularını izole etmek için bir DMZ crushftp örneği kullanan kurumsal müşterilerin bu güvenlik açığından etkilendiğine inanılmaz.
Sistemlerinin tehlikeye atıldığına inanan yöneticilerin, varsayılan kullanıcı yapılandırmasını 16 Temmuz’dan önce bir yedeklemeden geri yüklemeleri tavsiye edilir. Uzlaşma göstergeleri şunları içerir:
- MainAsers/Varsayılan/User.xml’de beklenmedik girişler, özellikle son değişiklikler veya
last_loginsalan - Gibi yeni, tanınmayan yönetici seviyesi kullanıcı adları 7A0D26089AC528941BFF8CB98D97F408M.
Spink, en yaygın olarak varsayılan kullanıcının ana IOC olarak değiştirildiğini gördüklerini söylüyor.
“Genel olarak varsayılan kullanıcının ana IOC olarak değiştirildiğini gördük. Genel olarak, saldırgan için hala kullanılabilir ama başka hiç kimse olmayan çok geçersiz şekillerde değiştirildi.”
Crushftp, olağandışı etkinlik için yükleme ve indirme günlüklerinin gözden geçirilmesini ve kullanımı azaltmak için aşağıdaki adımları atmanızı önerir:
- Sunucu ve Yönetici Erişimi için IP beyaz listesi
- DMZ örneğinin kullanımı
- Otomatik güncellemeleri etkinleştirme
Bununla birlikte, siber güvenlik firması Rapid7, bir DMZ kullanmanın sömürü önlemek için güvenilir bir strateji olmayabileceğini söylüyor.
Rapid7, “Dikkat bol miktarda, Rapid7, hafifletilmiş bir bölgeye (DMZ) bir hafifletme stratejisi olarak güvenmeyi tavsiye ediyor.”
Şu anda, saldırıların veri hırsızlığı için mi yoksa kötü amaçlı yazılımları dağıtmak için mi kullanılmadığı belirsizdir. Ancak, yönetilen dosya aktarım çözümleri son yıllarda veri hırsızlığı kampanyaları için yüksek değerli hedefler haline gelmiştir.
Geçmişte, genellikle Clop olan fidye yazılımı çeteleri, kitle veri hırsızlığı ve gasp saldırıları yapmak için Cleo, Moveit Transfer, Goanywhere MFT ve Acccellion FTA dahil olmak üzere benzer platformlardaki sıfır günlük güvenlik açıklarından tekrar tekrar yararlandı.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.