Atacantes estão agora mirando uma vulnerabilidade crítica de bypass de autenticação no software de transferência de arquivos CrushFTP, utilizando exploits baseados em código de prova de conceito (PoC) disponível publicamente.
A vulnerabilidade de segurança (
CVE-2025-2825
) foi reportada pela Outpost24, e permite que atacantes remotos obtenham acesso não autenticado a dispositivos que executam as versões não corrigidas 10 ou 11 do software CrushFTP.
"Por favor, tome ação imediata para aplicar a correção o mais rápido possível. A essência dessa vulnerabilidade é que uma porta HTTP(S) exposta pode levar a um acesso não autenticado," alertou o CrushFTP em um e-mail enviado aos clientes na sexta-feira, 21 de março, quando lançou patches para corrigir a falha de segurança.
Como solução alternativa, administradores que não podem atualizar imediatamente para o CrushFTP 10.8.4 ou posterior, ou 11.3.1 ou posterior, podem habilitar a opção de rede de perímetro DMZ (Zona Desmilitarizada) para proteger seus servidores CrushFTP até que consigam aplicar o patch.
Uma semana depois, a plataforma de monitoramento de ameaças de segurança Shadowserver alertou que seus honeypots detectaram dezenas de tentativas de exploração mirando servidores CrushFTP expostos à internet, com mais de 1.500 instâncias vulneráveis expostas online.
O aviso vem dias após o ProjectDiscovery publicar um artigo contendo detalhes técnicos do
CVE-2025-2825
e um exploit de prova de conceito.
"Estamos observando tentativas de exploração do
CVE-2025-2825
do CrushFTP baseadas em código de PoC exploit disponível publicamente," disse a Shadowserver na segunda-feira.
Ainda há 1512 instâncias não corrigidas vulneráveis ao
CVE-2025-2825
vistas em 30-03-2025.
Produtos de transferência de arquivos como o CrushFTP estão no topo da lista de alvos de gangues de ransomware, especificamente Clop, que foi ligado a ataques de roubo de dados mirando falhas zero-day no Accelion FTA, MOVEit Transfer, GoAnywhere MFT, e, mais recentemente, no software Cleo.
Um ano atrás, em abril de 2024, o CrushFTP corrigiu uma vulnerabilidade zero-day (rastreada como
CVE-2024-4040
) que estava sendo ativamente explorada e permitia que atacantes não autenticados escapassem do sistema de arquivos virtuais (VFS) do usuário e baixassem arquivos do sistema.
Na época, a empresa de cibersegurança CrowdStrike encontrou evidências de que a campanha mirando servidores CrushFTP em várias organizações dos EUA provavelmente tinha motivações políticas e focava em coleta de inteligência.
A Agência de Segurança de Infraestrutura e Cibersegurança (CISA) também adicionou o
CVE-2024-4040
ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, ordenando que agências federais protegessem os sistemas vulneráveis em suas redes dentro de uma semana.
Clientes da CrushFTP também foram alertados para corrigir um bug crítico de execução remota de código (
CVE-2023-43177
) no pacote empresarial da companhia em novembro de 2023, após pesquisadores de segurança da Converge (que descobriram e reportaram a falha) lançarem um exploit de prova de conceito três meses após as atualizações de segurança serem liberadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...