Компанія CrushFTP оголосила про виявлення критичної zero-day уразливості CVE-2025-54309, яка вже активно використовується кіберзловмисниками для несанкціонованого отримання адміністративних привілеїв на корпоративних серверах. Ця серйозна брешь у безпеці дозволяє атакуючим компрометувати системи через веб-інтерфейс без будь-якої автентифікації.
Незвичайні обставини виявлення загрози
Перші ознаки активних кібератак були зафіксовані 18 липня 2025 року, хоча експерти припускають, що експлуатація уразливості розпочалася на день раніше. За словами генерального директора CrushFTP Бена Спінка, ситуація розвивалася за унікальним сценарієм.
Найбільш дивним аспектом цього інциденту стало те, що розробники випадково заблокували zero-day уразливість ще до її офіційного виявлення. Патч, випущений для вирішення іншої проблеми, за замовчуванням відключив рідко використовувану функцію AS2 через HTTP(S), що непередбачувано перекрило шлях для експлуатації.
Reverse engineering як метод виявлення уразливості
Фахівці CrushFTP вважають, що кіберзловмисники провели зворотну інженерію коду програмного продукту, самостійно виявили нову уразливість та розпочали масштабні атаки на пристрої без встановленого захисного патча. Цей випадок демонструє високий рівень технічної експертизи сучасних хакерських груп.
Уразливість існувала в збірках, випущених приблизно до 1 липня 2025 року. Вектор атаки використовував HTTP(S) протокол, що робило експлуатацію особливо небезпечною для організацій з публічно доступними серверами передачі файлів.
Технічні характеристики та уражені версії
Уразливість впливає на версії CrushFTP до 10.8.5 та CrushFTP 11.3.4_23, випущені приблизно 1 липня. Атаки здійснюються через веб-інтерфейс програми, що значно розширює потенційну поверхню атаки.
Характерною ознакою компрометації є модифікація конфігурації користувача за замовчуванням. Зловмисники змінюють налаштування таким чином, що конфігурація стає технічно неvalidною, але продовжує працювати виключно для атакуючого, створюючи прихований канал адміністративного доступу.
Індикатори компрометації та заходи відновлення
Основними індикаторами успішної атаки є несподівані модифікації облікових записів за замовчуванням та аномальна активність у журналах веб-інтерфейсу. Адміністраторам, які підозрюють компрометацію своїх систем, настійно рекомендується відновити конфігурацію користувачів з резервних копій, створених до 16 липня.
Організаціям слід негайно провести комплексний аудит усіх користувацьких конфігурацій та перевірити журнали доступу на предмет підозрілої активності. Особливу увагу необхідно приділити будь-яким змінам у налаштуваннях, які могли відбутися після середини липня.
Потенційні наслідки для корпоративної інфраструктури
Хоча поки що не зафіксовано випадків крадіжки даних або поширення шкідливого ПЗ через цю уразливість, рішення для захищеної передачі файлів традиційно є пріоритетними цілями для операторів програм-вимагачів.
Історичні прецеденти демонструють серйозність таких загроз: хакерська група Clop успішно експлуатувала аналогічні уразливості в популярних корпоративних продуктах, включаючи MOVEit Transfer, GoAnywhere MFT та Accellion FTA, що призвело до масштабних витоків даних та значних фінансових втрат.
Цей інцидент підкреслює критичну важливість своєчасного оновлення систем передачі файлів та впровадження багаторівневої системи захисту. Організаціям необхідно не лише встановлювати найновіші патчі безпеки, але й регулярно проводити моніторинг на предмет ознак компрометації, особливо враховуючи зростаючу активність кіберзловмисників у сфері корпоративних файлових сервісів та їх здатність до швидкого виявлення нових уразливостей через reverse engineering.
