Хакеры используют уязвимость нулевого дня CrushFTP для захвата серверов

WatchTowr Labs обнаружила эксплойт нулевого дня (CVE-2025-54309) в CrushFTP. Уязвимость позволяет хакерам получить права администратора через веб-интерфейс. Обновитесь до версии 10.8.5 или 11.3.4.

Уязвимость нулевого дня в CrushFTP, широко распространённом сервере передачи файлов, активно эксплуатируется хакерами. Компания watchTowr Labs, специализирующаяся на кибербезопасности, обнаружила активную эксплуатацию этой уязвимости, обозначенной как CVE-2025-54309 . 22 июля 2025 года уязвимость была добавлена в каталог известных эксплуатируемых уязвимостей CISA, что подтвердило её критический статус.

Расследование watchTowr Labs выявило критическую угрозу для более чем 30 000 экземпляров программы в сети. В своём официальном заявлении CrushFTP подтвердил, что уязвимость была эксплуатирована ещё 18 июля 2025 года.

Официальное объявление CrushFTP (Источник: watchTowr Labs)

Компания отметила, что в последних версиях программного обеспечения эта проблема уже устранена. Хакеры, вероятно, нашли способ воспользоваться уязвимостью после того, как компания недавно внесла изменения в код для устранения другой проблемы, случайно раскрыв уязвимость злоумышленникам.

Мы полагаем, что эта ошибка присутствовала в сборках, выпущенных до 1 июля, примерно… в последних версиях CrushFTP эта проблема уже исправлена. Вектором атаки был HTTP(S), с помощью которого они могли эксплуатировать сервер. Мы исправили другую проблему, связанную с AS2 в HTTP(S), не осознавая, что предыдущая ошибка может быть использована так же, как и этот эксплойт. Хакеры, по-видимому, заметили изменение нашего кода и нашли способ эксплуатировать предыдущую ошибку. Заявление CrushFTP.

watchTowr Labs использовала свою собственную сеть ханипотов Attacker Eye, чтобы зафиксировать атаку в процессе. Команда развернула специальный сенсор для CrushFTP и сразу же получила оповещение о взломе сенсора.

Анализ исходного сетевого трафика выявил чёткую закономерность: два одинаковых HTTP- запроса отправлялись один за другим с высокой частотой, повторяясь более 1000 раз. Ключевое различие между двумя запросами заключалось в их заголовках.

Первый запрос содержал заголовок, указывающий на внутреннего административного пользователя crushadmin, а второй — нет. Такое поведение указывало на состояние гонки , которое возникает, когда две задачи конкурируют за ресурсы, и результат зависит от того, какая из них завершится первой.

В данном случае два запроса шли вразрез с обработкой. Если запросы поступали в строго определённом порядке, второй запрос мог воспользоваться преимуществом первого, выполнив его от имени пользователя Crushadmin без надлежащей аутентификации (поскольку сервер считал злоумышленника администратором).

С этого момента игра фактически окончена, поскольку хакер может обойти аутентификацию, а затем получить полный контроль над сервером, получить конфиденциальные файлы и нанести значительный ущерб.

Атака осуществляется через веб-интерфейс программного обеспечения в версиях до CrushFTP v10.8.5 и CrushFTP v11.3.4_23. Обратите внимание, что корпоративные клиенты, использующие экземпляр CrushFTP в DMZ для изоляции своего основного сервера, вероятно, не затронуты.

Чтобы подтвердить свои выводы, watchTowr Labs создала собственный скрипт для воспроизведения атаки и успешно создала новую учетную запись администратора на уязвимом экземпляре.

По данным исследователей, разработчики CrushFTP в недавних обновлениях без публичного предупреждения пользователей исправили эту уязвимость, что поставило под угрозу многих из них. Учитывая, что эта уязвимость активно эксплуатируется, крайне важно защитить свою систему, немедленно обновив программное обеспечение до последних версий с исправлениями .