Exploatarea CrushFTP Zero-Day oferă acces de administrare la servere
Sursă: https://www.securityweek.com
CrushFTP a avertizat că persoanele rău intenționate au exploatat o vulnerabilitate de tip zero-day în software-ul său de transfer de fișiere gestionat pentru a obține acces administrativ la serverele vulnerabile.
Identificată drept CVE-2025-54309 (scor CvSS: 9.0/10), vulnerabilitatea este descrisă ca fiind o gestionare necorespunzătoare a validării AS2 atunci când funcția proxy DMZ nu este utilizată, ceea ce permite atacatorilor de la distanță să obțină privilegii administrative prin HTTPS.
Potrivit CrushFTP, vulnerabilitatea există în versiunile lansate înainte de 1 iulie și a fost remediată în versiunile recente ale software-ului, deși vectorul de atac nu a fost abordat.
Potrivit companiei, doar instanțele care nu utilizează un DMZ în fața aplicației sunt expuse riscului de exploatare.
Sunt afectate versiunile CrushFTP 10 înainte de 10.8.5 și versiunile 11 înainte de 11.3.4_23. Patch-urile au fost incluse în versiunile CrushFTP 10.8.5_12 și 11.3.4_26.
Printre indicatorii de compromitere se numără prezența intrărilor last_logins în fișierul XML al utilizatorului implicit, un timestamp modificat pentru fișier, acces administrativ pentru utilizatorul implicit, prezența unor userID-uri aleatorii lungi, existența unor noi nume de utilizator cu acces de administrator, dispariția butoanelor din interfața web a utilizatorului final și un buton de administrator pentru utilizatorii obișnuiți.
Administratorii ar trebui să restaureze un utilizator implicit din backup-urile anterioare sau pur și simplu să șteargă utilizatorul implicit, deși acest lucru ar șterge și personalizările anterioare ale acestuia.
De asemenea, administratorii sunt sfătuiți să implementeze limite de IP pentru conturile administrative, să filtreze IP-urile cărora li se permite să se conecteze la server, să utilizeze o instanță DMZ CrushFTP în fața instrumentului de transfer de fișiere și să activeze actualizările automate pentru a rămâne întotdeauna pe cea mai recentă versiune a aplicației.
Sursă: https://www.securityweek.com/exploited-crushftp-zero-day-provides-admin-access-to-servers/
