Хакер #309. Самооборона по-хакерски
Разработчики CrushFTP предупреждают клиентов о критической уязвимости неавторизованного доступа к порту HTTP(S) и призывают немедленно установить исправления на серверы.
Свежая уязвимость получила идентификатор CVE-2025-2825 и позволяет злоумышленникам получить неавторизованный доступ к уязвимым серверам, если те доступны через интернет по протоколу HTTP(S).
«Пожалуйста, примите немедленные меры по исправлению проблемы. Уязвимость устранена 21 марта 2025 года и затрагивала все версии CrushFTP v11 (более ранние версии не затронуты), — предупреждает компания в официальном письме. — Суть уязвимости заключается в том, что открытый порт HTTP(S) может привести к неавторизованному доступу. Проблема смягчается при наличии DMZ-функции в CrushFTP».
При этом специалисты Rapid7 обратили внимание, что хотя в письме говорится о том, что уязвимость затрагивает только версии CrushFTP v11, в выпущенном в тот же день бюллетене безопасности уязвимыми названы CrushFTP v10 и v11.
Всем, кто по какой-то причине не может немедленно обновить CrushFTP до версий 10.8.4+ и 11.3.1+, рекомендуется включить DMZ, чтобы защитить свой CrushFTP до установки патчей.
Согласно статистике Shodan, в интернете можно найти более 3400 экземпляров CrushFTP с уязвимым веб-интерфейсом (однако нельзя определить, какие из них уже получили патчи). В общей сложности через интернет доступны более 36 000 серверов с CrushFTP.
Напомним, что в апреле 2024 года в CrushFTP была обнаружена активно эксплуатируемая уязвимость нулевого дня CVE-2024-4040, которая позволяла неавторизованным злоумышленникам осуществить побег из VFS и загружать системные файлы.
Тогда эксперты ИБ-компании CrowdStrike писали, что 0-day в CrushFTP использовалась в целевых атаках. Так, злоумышленники атаковали серверы CrushFTP в неназванных американских организациях, и улики указывали на то, что эта кампания по сбору разведданных, скорее всего, имела политическую подоплеку.
