(https://www.bleepstatic.com/content/hl-images/2025/03/25/CrushFTP.jpg)
CrushFTP advierte que los actores de amenazas están explotando activamente una vulnerabilidad de día cero identificada como CVE-2025-54309, que permite a los atacantes obtener acceso administrativo a través de la interfaz web de los servidores vulnerables.
CrushFTP es un servidor de transferencia de archivos empresarial utilizado por organizaciones para compartir y administrar archivos de forma segura a través de FTP, SFTP, HTTP/S y otros protocolos.
Según CrushFTP, se detectó por primera vez a los actores de amenazas explotando la vulnerabilidad el 18 de julio a las 9:00 a. m. CST, aunque es posible que el incidente comenzara en la madrugada del día anterior.
El director ejecutivo de CrushFTP, Ben Spink, informó a BleepingComputer que ya habían corregido una vulnerabilidad relacionada con AS2 en HTTP(S) que, sin darse cuenta, también bloqueaba esta falla de día cero.
"Una solución anterior, por casualidad, también bloqueó esta vulnerabilidad, pero esta solución se centraba en un problema diferente y desactivaba una función poco utilizada por defecto", declaró Spink a BleepingComputer.
CrushFTP afirma creer que los atacantes aplicaron ingeniería inversa a su software, descubrieron este nuevo error y comenzaron a explotarlo en dispositivos que no tienen sus parches actualizados.
"Creemos que este error ya estaba presente en compilaciones anteriores al 1 de julio aproximadamente... las últimas versiones de CrushFTP ya tienen el problema corregido", se lee en el aviso de CrushFTP.
El vector de ataque era HTTP(S) para explotar el servidor. Habíamos solucionado un problema diferente relacionado con AS2 en HTTP(S), sin percatarnos de que un error anterior podía usarse como este exploit. Al parecer, los hackers detectaron el cambio en nuestro código y descubrieron una forma de explotar el error anterior.
Como siempre, recomendamos aplicar parches con regularidad. Cualquiera que se mantuviera actualizado se libró de esta vulnerabilidad.
El ataque se produce a través de la interfaz web del software en versiones anteriores a CrushFTP v10.8.5 y CrushFTP v11.3.4_23. Se desconoce la fecha de lanzamiento de estas versiones, pero CrushFTP afirma que fue alrededor del 1 de julio.
CrushFTP insiste en que los sistemas que se han mantenido actualizados no son vulnerables.
Se cree que los clientes empresariales que utilizan una instancia de CrushFTP DMZ para aislar su servidor principal no se verán afectados por esta vulnerabilidad.
Se recomienda a los administradores que consideren que sus sistemas se vieron comprometidos que restauren la configuración de usuario predeterminada desde una copia de seguridad anterior al 16 de julio. Los indicadores de vulnerabilidad incluyen:
Entradas inesperadas en MainUsers/default/user.XML, especialmente modificaciones recientes o un campo last_logins
Nombres de usuario de nivel de administrador nuevos y desconocidos, como 7a0d26089ac528941bf8cb998d97f408m.
Spink afirma que lo más común es que el usuario predeterminado se modifique como el IOC principal.
"En general, hemos visto que el usuario predeterminado se ha modificado como el IOC principal. Generalmente, se han modificado de formas muy inválidas que aún eran utilizables para el atacante, pero nadie más", declaró Spink a BleepingComputer.
CrushFTP recomienda revisar los registros de carga y descarga para detectar actividad inusual y tomar las siguientes medidas para mitigar la explotación:
Lista blanca de IP para acceso al servidor y administrador
Uso de una instancia DMZ
Activación de actualizaciones automáticas
Sin embargo, la empresa de ciberseguridad Rapid7 afirma que usar una DMZ podría no ser una estrategia fiable para prevenir la explotación.
"Por precaución, Rapid7 desaconseja confiar en una zona desmilitarizada (DMZ) como estrategia de mitigación", advirtió Rapid7.
Por el momento, no está claro si los ataques se utilizaron para el robo de datos o para implementar malware. No obstante, las soluciones de transferencia gestionada de archivos se han convertido en objetivos de alto valor para las campañas de robo de datos en los últimos años.
En el pasado, las bandas de ransomware, generalmente Clop, han explotado repetidamente vulnerabilidades de día cero en plataformas similares, incluidas Cleo, MOVEit Transfer, GoAnywhere MFT y Accellion FTA, para llevar a cabo ataques masivos de robo de datos y extorsión.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/crushftp-zero-day-exploited-in-attacks-to-gain-admin-access-on-servers/