Los fallas de seguridad críticas recientemente reveladas de CrushFTP están sujetas a una explotación agresiva en la naturaleza. Identificador CVE CVE-2025-54309 está asignado, y la vulnerabilidad tiene una puntuación CVSS de 9.0.
«Si no se usa la función de proxy DMZ, 10.8.5 y 11.3.4_23 y 10.8.5 y 11 antes de las 11.8.5 y 11 antes de 11.3.4_23 y 11 antes de 11.3.4_23 se malinterpretaría la verificación AS2, que permitirá a los atacantes remotos obtener acceso de administrador a través de HTTP», de acuerdo con la data de dato nacional de noches de NIST (NVD).
Crushftp dijo que en su recomendación detectó por primera vez la explotación de vulnerabilidad salvaje de día cero a las 9 a.m. del 18 de julio de 2025, pero admitió que podría haberse armado mucho antes.
«El vector de ataque era HTTP sobre cómo podríamos aprovechar nuestros servidores», dijo la compañía. «Se solucionamos otro problema relacionado con AS2 en HTTP (s) no nos dimos cuenta de que los errores anteriores podrían usarse como esta exploit. Los piratas informáticos obviamente vieron el cambio de código y encontraron una manera de explotar el error anterior».
CrushFTP es ampliamente utilizado en los entornos gubernamentales, de atención médica y corporativos para administrar transferencias de archivos sensibles. Una instancia comprometida permite que un atacante elimine los datos, inyecte traseros o pivote en sistemas internos que dependen del servidor para intercambios confiables. Sin aislamiento de DMZ, la instancia expuesta se convierte en un solo punto de falla.
La compañía dijo que un actor de amenaza desconocido detrás de la actividad maliciosa logró ingeniería inversa del código fuente y descubrió un nuevo defecto en el dispositivo objetivo que aún no se ha actualizado a la última versión. Se cree que CVE-2025-54309 existió en la construcción CLANTFTP antes del 1 de julio.
CrushFTP también ha lanzado el siguiente indicador de compromiso (IOC) –
El usuario predeterminado ha accedido a una larga ID de usuario aleatorias creadas por un administrador (por ejemplo, 7A0D26089AC528941BF8CB998D97F408M).
Los equipos de seguridad que investigan los posibles compromisos deben verificar los cambios de usuario. XML, correlacionar los eventos de inicio de sesión de administración con IP pública y verificar los cambios en los permisos de auditoría en carpetas de alto valor. Busque patrones sospechosos en los registros de acceso relacionados con el usuario recién creado o la escalada de roles de administrador inexplicable. Indicaciones típicas de comportamiento posterior a la extracción en escenarios de violación del mundo real.
Como mitigación, la compañía recomienda que los usuarios restauren a los usuarios predeterminados anteriores desde la carpeta de copia de seguridad y revisen la carga/descarga de los informes para obtener señales de transferencia sospechosas. Otros pasos –
Restringir las direcciones IP utilizadas para las acciones de gestión Listlist IPS IPS IPS IPS IPS Crushftp Servidor Switch para conectarse a la instancia DMZ Crushftp para garantizar que las actualizaciones automáticas estén habilitadas
En esta etapa, se desconoce la naturaleza exacta del ataque que explota los defectos. A principios de abril de este año, se armó otro defecto de seguridad en la misma solución (CVE-2025-31161, puntaje CVSS: 9.8) para proporcionar agentes centrales de malla y otro malware.
También se reveló el año pasado que la segunda vulnerabilidad importante que afecta a CLANTFTP (CVE-2024-4040, puntaje CVSS: 9.8) fue explotada por actores de amenazas al atacar múltiples entidades estadounidenses.
Con la explotación de múltiples CVE de alta intensidad durante el año pasado, CrushFTP se ha convertido en un objetivo recurrente en las campañas de amenazas avanzadas. Las organizaciones deben ver este patrón como parte de una evaluación de exposición a amenazas más amplia, junto con flujos de trabajo de detección de día cero que incluyen ritmos de parche, riesgos de transferencia de archivos de terceros y herramientas de acceso remoto y compromisos de credenciales.
Source link
