A CrushFTP alertou seus clientes sobre uma vulnerabilidade de acesso não autenticado via porta HTTP(S) e instou-os a atualizar seus servidores imediatamente.
Como a empresa também explicou em um e-mail enviado aos clientes na sexta-feira(21), a falha de segurança permite que atacantes ganhem acesso não autenticado a servidores não atualizados que estejam expostos na Internet via HTTP(S).
"Por favor, tome medidas imediatas para atualizar o quanto antes. Uma vulnerabilidade foi resolvida hoje (21 de março de 2025). Todas as versões do CrushFTP v11 foram afetadas. (Versões anteriores não são afetadas.) Um CVE será gerado em breve," alertou a empresa.
O cerne dessa vulnerabilidade é que uma porta HTTP(S) exposta pode levar a um acesso não autenticado.
A vulnerabilidade é mitigada se você tiver a funcionalidade DMZ do CrushFTP ativada.
Embora o e-mail diga que essa vulnerabilidade afeta apenas as versões v11 do CrushFTP, um comunicado emitido no mesmo dia diz que tanto as versões v10 quanto v11 são impactadas, como a empresa de cibersegurança Rapid7 observou inicialmente.
Como solução alternativa, aqueles que não podem atualizar imediatamente para o CrushFTP v11.3.1+ (que corrige a falha) podem habilitar a opção de rede perimetral DMZ (zona desmilitarizada) para proteger sua instância do CrushFTP até que atualizações de segurança possam ser implementadas.
Em abril de 2024, a CrushFTP também lançou atualizações de segurança para corrigir uma vulnerabilidade zero-day ativamente explorada (
CVE-2024-4040
) que permitia a atacantes não autenticados escapar do sistema de arquivos virtual do usuário (VFS) e baixar arquivos do sistema.
Na época, a empresa de cibersegurança CrowdStrike encontrou evidências apontando para uma campanha de coleta de inteligência, provavelmente com motivações políticas, com os atacantes visando servidores CrushFTP em várias organizações dos EUA.
A CISA adicionou o
CVE-2024-4040
ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, ordenando que as agências federais dos EUA protejam servidores vulneráveis em suas redes dentro de uma semana.
Em novembro de 2023, os clientes da CrushFTP também foram alertados para atualizarem uma vulnerabilidade crítica de execução remota de código (
CVE-2023-43177
) no pacote empresarial da empresa, depois que pesquisadores de segurança da Converge que relataram a falha divulgaram um exploit de prova de conceito três meses após a falha ter sido resolvida.
Produtos de transferência de arquivos como o CrushFTP são alvos atraentes para gangues de ransomware, especificamente o Clop, que foi vinculado a ataques de roubo de dados visando vulnerabilidades zero-day em softwares como MOVEit Transfer, GoAnywhere MFT, Accelion FTA e Cleo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...