CrushFTP снова под атакой: бэкдоры, фейковые учётки и невидимый вход в админку

leer en español

CrushFTP CVE-2025-54309 HTTPS DMZ AS2 уязвимость взлом
CrushFTP снова под атакой: бэкдоры, фейковые учётки и невидимый вход в админку
CrushFTP CVE-2025-54309 HTTPS DMZ AS2 уязвимость взлом

Миллиарды корпоративных файлов перекочевали в даркнет из-за CVE-2025-54309.

image

Сервис CrushFTP столкнулся с новой критической уязвимостью, которая уже используется в реальных атаках. Уязвимость получила идентификатор CVE-2025-54309 и оценку 9.0 по шкале CVSS. Ошибка касается некорректной обработки проверки AS2, которая позволяет злоумышленникам получить административный доступ к серверу через HTTPS, если не используется прокси DMZ.

Компания CrushFTP сообщила , что впервые зафиксировала использование этой уязвимости 18 июля 2025 года. Однако команда признала, что уязвимость могла быть эксплуатирована и раньше. Как пояснили разработчики, изначально был исправлен другой баг, связанный с AS2, но злоумышленники, заметив изменения в коде, сумели обратить внимание на старую ошибку и адаптировали её для новой атаки.

CrushFTP активно используется в сферах, где передаются конфиденциальные данные — в правительственных структурах, здравоохранении и крупном бизнесе. Поэтому полученный злоумышленниками доступ к административному интерфейсу представляет серьёзную угрозу. Нарушители могут красть файлы, устанавливать бэкдоры и проникать глубже в корпоративную инфраструктуру, используя доверие к CrushFTP как точке входа. Без изоляции через DMZ сервер становится уязвимым звеном во всей архитектуре безопасности.

По словам компании, злоумышленники смогли восстановить структуру исходного кода и таким образом выявили эксплуатируемую брешь, которая, как предполагается, существовала в версиях CrushFTP, выпущенных до 1 июля.

Среди признаков компрометации разработчики перечислили следующие:

  • учётная запись по умолчанию получила административные права;
  • появились случайные длинные имена пользователей, например: 7a0d26089ac528941bf8cb998d97f408m;
  • были созданы дополнительные пользователи с правами администратора;
  • файл «MainUsers/default/user.xml» оказался недавно изменённым, особенно в поле «last_logins»;
  • в веб-интерфейсе исчезли стандартные кнопки, а у обычных пользователей появилась возможность входа как администратор.

Специалисты по безопасности советуют проверить дату изменения user.xml, сопоставить события входа с IP-адресами, проанализировать доступ к критически важным папкам и обратить внимание на нестандартные логи активности — особенно при создании новых пользователей или появлении неожиданных привилегий.

В качестве мер защиты CrushFTP предлагает:

  • восстановить пользовательскую конфигурацию из резервной копии;
  • изучить отчёты о загрузках и выгрузках файлов на предмет подозрительной активности;
  • ограничить IP-адреса, с которых разрешены административные действия;
  • задать список доверенных IP-адресов, допускаемых к серверу;
  • использовать DMZ-серверы для корпоративного применения;
  • включить автоматические обновления.

Пока не ясно, как именно осуществляется атака, но уже известно, что похожие инциденты происходили ранее. В апреле 2025 года уязвимость CVE-2025-31161 (CVSS 9.8) использовалась для распространения вредоносного ПО, включая MeshCentral agent. В 2024 году ещё одна уязвимость — CVE-2024-4040 — позволила злоумышленникам атаковать несколько американских организаций.

С учётом регулярных атак, в которых используются ранее неизвестные критические ошибки в CrushFTP, становится очевидно, что данная система остаётся приоритетной целью в рамках сложных и целенаправленных кампаний. Организациям следует учитывать этот фактор в оценке уровня угроз, уделяя внимание не только своевременным обновлениям, но и контролю стороннего ПО для обмена файлами и управлению правами доступа.