CrushFTP近日发布安全公告,警告其产品中存在一个被命名为CVE-2025-54309的零日漏洞,攻击者正在积极利用该漏洞,通过Web界面在未修复的服务器上获取管理员权限。
CrushFTP是一款企业级文件传输服务器,广泛用于通过FTP、SFTP、HTTP/S等协议进行文件的安全共享与管理。
据CrushFTP披露,攻击行为最早于7月18日北京时间上午9点被发现,实际攻击可能始于更早的时间。
CrushFTP首席执行官Ben Spink向外媒BleepingComputer表示,该漏洞原本并未被识别,但此前一项针对AS2功能的修复措施“意外”屏蔽了该漏洞的利用路径。他指出:“我们此前修复了一个与HTTP(S)中AS2功能相关的问题,恰巧关闭了这个漏洞的攻击向量。”
CrushFTP认为攻击者通过逆向分析其软件,发现了此漏洞并开始在未及时打补丁的设备上展开攻击。
“我们认为该漏洞影响的是7月1日前发布的版本……最新版本已修复该问题。”官方公告称,“攻击途径为HTTP(S),我们起初未意识到此前的漏洞可被以这种方式利用。攻击者通过我们的代码变更,推断出漏洞的存在并加以利用。”
目前确认受影响的版本为CrushFTP v10.8.5和v11.3.4_23之前的版本。CrushFTP强调,保持系统及时更新的用户不受影响。使用了DMZ架构将主服务器隔离的企业用户通常不受本次漏洞影响。
对于怀疑系统可能遭入侵的用户,CrushFTP建议从7月16日前的备份中恢复默认用户配置。潜在入侵迹象包括:
1. MainUsers/default/user.XML 文件中出现异常条目,尤其是新增字段如 last_logins;
2. 出现陌生的管理员账号,例如 7a0d26089ac528941bf8cb998d97f408m;
3. 默认用户被非法修改,但攻击者仍可利用。
Spink指出:“我们观察到的主要入侵指标是默认用户配置被以异常方式修改,这种方式对攻击者可用,但其他用户则无法使用。”
为防止进一步的攻击,CrushFTP建议采取以下措施:
1. 对服务器和管理端启用IP白名单限制;
2.部署DMZ实例分离主服务器;
3. 启用自动更新功能。
不过,网络安全公司Rapid7提醒,DMZ并非绝对安全的缓解措施。“出于审慎考虑,Rapid7不建议仅依赖DMZ作为防御手段。”该公司表示。
目前尚不清楚攻击者是否通过此次漏洞实施数据窃取或恶意软件部署,但近年来托管文件传输系统(MFT)频繁成为高级数据窃取活动的攻击目标。
过去,勒索软件组织Clop等曾多次利用类似平台中的零日漏洞(包括Cleo、MOVEit Transfer、GoAnywhere MFT和Accellion FTA)发动大规模数据窃取和勒索攻击。
发表评论
您还未登录,请先登录。
登录