Компания CrushFTP экстренно предупредила о критической уязвимости нулевого дня CVE-2025-54309, которая активно эксплуатируется киберпреступниками для получения административного доступа к корпоративным серверам. Данная брешь в безопасности позволяет злоумышленникам компрометировать системы через веб-интерфейс без необходимости аутентификации.
Хронология обнаружения и эксплуатации уязвимости
Первые признаки активных атак были зафиксированы 18 июля 2025 года, однако эксперты предполагают, что эксплуатация уязвимости могла начаться днем раньше. Согласно заявлению генерального директора CrushFTP Бена Спинка, ситуация развивалась по необычному сценарию.
Парадоксально, но незадолго до обнаружения атак разработчики выпустили патч, который случайно заблокировал данную zero-day уязвимость. Первоначально исправление было направлено на решение другой проблемы и отключало по умолчанию редко используемую функцию AS2 через HTTP(S).
Механизм обнаружения уязвимости киберпреступниками
Специалисты CrushFTP считают, что хакеры провели обратную разработку кода продукта, обнаружили новую уязвимость и начали массированные атаки на устройства, где защитный патч еще не был установлен. Этот случай демонстрирует высокий уровень технической подготовки злоумышленников.
По словам представителей компании, ошибка присутствовала в сборках примерно до 1 июля 2025 года. Вектор атаки использовал протокол HTTP(S), что делало эксплуатацию особенно опасной для организаций с публично доступными серверами.
Пораженные версии и технические детали
Уязвимость затрагивает версии CrushFTP до 10.8.5 и CrushFTP 11.3.4_23, выпущенные приблизительно 1 июля. Атаки осуществляются через веб-интерфейс программы, что существенно расширяет поверхность атаки.
Наиболее характерным признаком компрометации является модификация конфигурации пользователя по умолчанию. Злоумышленники изменяют настройки таким образом, что конфигурация становится формально невалидной, но продолжает функционировать исключительно для атакующего.
Рекомендации по восстановлению и защите
Администраторам, подозревающим компрометацию своих систем, настоятельно рекомендуется восстановить конфигурацию пользователей из резервных копий, созданных до 16 июля. Это критически важно для устранения несанкционированных изменений.
Основными индикаторами компрометации являются неожиданные модификации учетных записей по умолчанию и аномальная активность в журналах веб-интерфейса. Организациям следует немедленно провести аудит всех пользовательских конфигураций.
Угрозы для корпоративной инфраструктуры
Хотя пока неизвестно о случаях кражи данных или распространения вредоносного ПО через эту уязвимость, решения для защищенной передачи файлов традиционно являются приоритетными целями для операторов программ-вымогателей.
Исторически, группировка Clop успешно эксплуатировала аналогичные уязвимости в популярных корпоративных продуктах, включая MOVEit Transfer, GoAnywhere MFT и Accellion FTA, что привело к масштабным утечкам данных и финансовым потерям.
Данный инцидент подчеркивает критическую важность своевременного обновления систем передачи файлов и необходимость внедрения многоуровневой системы защиты. Организациям следует не только установить последние патчи безопасности, но и регулярно проводить мониторинг на предмет признаков компрометации, особенно учитывая растущую активность киберпреступников в сфере корпоративных файловых сервисов.
