Kilka zapytań i można skasować dane dowolnej firmy

Luka, oznaczona jako CVE-2025-54309, umożliwia przejęcie uprawnień administratora przez atakujących korzystających z webowego interfejsu serwera. Szykuje się weekend łatania luk... lub nieszczęść firmach, podobnych do tych lubelskiego Herbapolu.

Nowy zero-day w CrushFTP

CrushFTP obsługuje protokoły takie jak FTP, SFTP i HTTP/S, przez co szeroko wykorzystywany jest do zarządzania plikami w dużych organizacjach. Zagrożenie dotyczy wersji starszych niż CrushFTP v10.8.5 oraz v11.3.4_23, wydanych około 1 lipca 2025. Przedstawiciele producenta podkreślają, że podatne są jedynie serwery nieaktualizowane – użytkownicy regularnie stosujący poprawki są bezpieczni.

Luka odkryta przez cyberprzestępców najprawdopodobniej została rozpoznana przez analizę kodu po wprowadzeniu wcześniejszej łatki dotyczącej zupełnie innego problemu (związanego z AS2 w HTTP/S). Przypadkowa zmiana w poprzedniej wersji zabezpieczyła część użytkowników, lecz atakujący znaleźli sposób na wykorzystanie wcześniejszej podatności do własnych celów.

Przejęcie kontroli nad serwerem następuje poprzez podatność w obsłudze żądań HTTP(S), a głównym wskaźnikiem ataku są zmiany w plikach konfiguracyjnych użytkowników (np. MainUsers/default/user.XML) oraz pojawienie się nowych, nieznanych kont admina. Zaobserwowano, że najczęściej modyfikowany jest domyślny użytkownik, często w nietypowy sposób – daje to napastnikom dostęp, a dla reszty użytkowników pozostaje nieczytelny.

Garść wytycznych dla adminów

Administratorzy podejrzewający incydent powinni w pierwszej kolejności przywrócić plik konfiguracyjny użytkownika z backupu sprzed 16 lipca. Zaleca się także dokładne przejrzenie logów przesyłu danych w poszukiwaniu nietypowej aktywności.

CrushFTP sugeruje ustanowienie białej listy adresów IP dla dostępu administracyjnego i serwera, użycie instancji DMZ do separacji serwera głównego oraz — włączenie automatycznych aktualizacji.