CVE-2025-54309#
18 de julio, a las 9 a.m. CST, se ve una hazaña de 0 días en la naturaleza. Posiblemente ha estado sucediendo por más tiempo, pero lo vimos entonces.Los piratas informáticos aparentemente invierten nuestro código y encontraron algún error que ya habíamos solucionado. Lo están explotando para cualquiera que no se haya mantenido actualizado en nuevas versiones.
Creemos que este error estaba en construcciones antes del período de tiempo del 1 de julio aproximadamente … Las últimas versiones de CrushFTP ya tienen el problema parcheado. El vector de ataque fue HTTP (s) de cómo podían explotar el servidor. Habíamos solucionado un problema diferente relacionado con AS2 en HTTP (s) que no nos dimos cuenta de que el error previo podría usarse como lo era este exploit. Los piratas informáticos aparentemente vieron nuestro código cambiar y descubrieron una forma de explotar el error anterior.
Como siempre, recomendamos parches regularmente y frecuentes. Cualquiera que se haya mantenido actualizado se salvó de esta hazaña.
Los clientes empresariales con un DMZ Crushftp frente a su principal no se ven afectados por esto.
Versiones afectadas:#
Toda la versión 10 por debajo de 10.8.5.
Toda la versión 11 por debajo de 11.3.4_23.
Si fue explotado:#
Restaurar un usuario predeterminado anterior desde su carpeta de copia de seguridad desde antes del exploit. Carpeta CLANTFTP/Backup/Users/MainUsers/Default …..
Estos archivos ZIP no se pueden extraer con Windows Unzip nativo y necesita 7zip, Winrar o MacOS o Winzip, etc. para extraerlos. También puede eliminar su usuario predeterminado y CrushFTP lo recreará por usted, pero no tendrá ninguna personalización previa que haya realizado.
Restaurarlo a su carpeta CLANTFTP/Usuarios/Mainusers/predeterminado
Revise los informes de carga/descarga para cualquier cosa transferida. Los piratas informáticos reutilizan los scripts de hazañas anteriores para implementar cosas en servidores CrushFTP. Recomendamos restaurar al período de tiempo del 16 de julio solo para evitar cualquier cosa que se haya hecho. Si bien vimos la mayor mayor parte de las hazañas en la mañana del 18 de julio, las hazañas reales pueden haber ocurrido un día antes mientras los administradores estaban dormidos.
Técnicas de mitigación futura:#
Límite de IPS permitido para la administración
IPS Whitelist que pueden conectarse a su servidor
Los usuarios empresariales usan un DMZ Instancia de Crushftp en el frente
Permitir actualización automática y frecuente (preferencias, actualizaciones)
Indicadores de compromiso:#
Su Mainusers/Default/User.xml tiene «Last_logins» en él … esto no sería normal.
La fecha modificada en su usuario predeterminado.xml es reciente …
El usuario predeterminado tiene acceso de administrador …
Long Random UserID creado que no reconoce … Ejemplo: 7A0D26089AC528941BF8CB998D97F408M
Otros nombres de usuario creados recientemente con el acceso a administrador.
Los botones de la interfaz web del usuario final desaparecieron, y el usuario anteriormente regular ahora tiene un botón de administraciónLos piratas informáticos han estado haciendo que la versión muestre una versión falsa para dar una falsa sensación de seguridad. Proporcionamos la función Validate Hashes en la pestaña Acerca de para comparar los hashes MD5 y buscamos un código adicional que puedan haber instalado en CrushFTP.