Um novo e crítico problema de segurança no CrushFTP, que vinha sendo ativamente explorado, foi divulgado recentemente.
Recebeu a identificação CVE no formato
CVE-2025-54309
e possui um score CVSS de 9.0.
"O CrushFTP 10, antes da versão 10.8.5, e o 11, antes da 11.3.4_23, quando o recurso DMZ proxy não é utilizado, não manipula corretamente a validação AS2 e, consequentemente, permite que atacantes remotos obtenham acesso de administrador através do HTTPS," conforme descrição da vulnerabilidade no NVD (National Vulnerability Database) do NIST.
O CrushFTP, em um comunicado, disse que detectou pela primeira vez a exploração zero-day da vulnerabilidade em 18 de julho de 2025, às 9h CST, embora reconheça que ela possa ter sido armada muito antes.
"O vetor de ataque era HTTP(S) para como eles poderiam explorar o servidor," disse a empresa.
Nós havíamos corrigido um problema diferente relacionado a AS2 em HTTP(S) não percebendo que um bug anterior poderia ser usado como foi esta exploração.
Hackers aparentemente viram nossa mudança de código e descobriram uma maneira de explorar o bug anterior.
O CrushFTP é amplamente utilizado em ambientes governamentais, de saúde e empresariais para gerenciar transferências de arquivos sensíveis, tornando o acesso administrativo especialmente perigoso.
Uma instância comprometida pode permitir que atacantes exfiltrem dados, injetem backdoors ou se movam para sistemas internos que dependem do servidor para troca confiável.
Sem isolamento DMZ, a instância exposta se torna um único ponto de falha.
A empresa disse que os atores de ameaças desconhecidos por trás da atividade maliciosa conseguiram reverter a engenharia de seu código-fonte e descobriram a nova falha para mirar em dispositivos que ainda não foram atualizados para as últimas versões.
Acredita-se que o
CVE-2025-54309
estava presente nas compilações do CrushFTP antes de 1º de julho.
O CrushFTP também divulgou os seguintes indicadores de comprometimento (IoCs):
Usuário padrão tem acesso de administrador IDs de usuário longos e aleatórios criados (ex.: 7a0d26089ac528941bf8cb998d97f408m);
Outros novos nomes de usuário criados com acesso de administrador;
O arquivo "MainUsers/default/user.xml" foi recentemente modificado e tem um valor "last_logins" nele;
Botões da interface web do usuário final desapareceram, e usuários previamente identificados como usuários regulares agora têm um botão de Admin;
Equipes de segurança investigando um possível comprometimento devem revisar os tempos de modificação do user.xml, correlacionar eventos de login de administrador com IPs públicos e auditar mudanças de permissão em pastas de alto valor.
Também é essencial procurar por padrões suspeitos nos logs de acesso ligados a novos usuários criados ou escaladas de papel de admin não explicadas, que são sinais típicos de comportamento pós-exploração em cenários reais de violação.
Como mitigação, a empresa recomenda que os usuários restaurem um usuário padrão anterior a partir da pasta de backup, além de revisar relatórios de upload/download para qualquer sinal de transferências suspeitas.
Outras etapas incluem:
Limitar os endereços IP usados para ações administrativas
Permitir apenas IPs confiáveis para conectar ao servidor CrushFTP
Mudar para a instância CrushFTP DMZ para uso empresarial
Garantir que as atualizações automáticas estejam habilitadas
Neste estágio, a natureza exata dos ataques que exploram a falha não é conhecida.
Em abril deste ano, outro defeito de segurança na mesma solução (
CVE-2025-31161
, pontuação CVSS: 9.8) foi utilizado para entregar o agente MeshCentral e outros malwares.
No ano passado, também veio à tona que uma segunda vulnerabilidade crítica que afeta o CrushFTP (
CVE-2024-4040
, pontuação CVSS: 9.8) foi aproveitada por atores de ameaças para mirar em múltiplas entidades dos EUA.
Com várias CVEs de alta gravidade exploradas no último ano, o CrushFTP emergiu como um alvo recorrente em campanhas de ameaças avançadas.
As organizações devem considerar este padrão como parte de avaliações mais amplas da exposição à ameaças, ao lado da cadência de patches, riscos de transferência de arquivos de terceiros e fluxos de trabalho de detecção de zero-day envolvendo ferramentas de acesso remoto e comprometimento de credenciais.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...