A CVE-2025-54309 azonosítójú, kritikusan súlyos sebezhetőséget aktívan kihasználják támadók a világon több mint 10.000 CrushFTP szerver ellen. A sérülékenység lehetővé teszi a támadók számára, hogy adminisztrátori jogosultsággal vegyék át a fájlkiszolgáló felületének irányítását.
🔍 Mi az a CrushFTP?
- Fájlátviteli szervermegoldás, amely támogatja az FTP, SFTP, HTTP, WebDAV és AS2 protokollokat.
- Platformfüggetlen (Windows, Linux, macOS)
- Fizetős rendszer otthoni és vállalati felhasználásra egyaránt.
❗️ Mi a CVE-2025-54309 sebezhetőség?
- Típus: AS2 protokoll érvényesítési hiba
- Hatás: Jogosulatlan hozzáférés és RCE (Remote Code Execution)
- Érintett verziók: Minden 10.8.5 alatti és 11.3.4_23 alatti verzió
- Javított verziók: 10.8.5 és 11.3.4_23
A CrushFTP 2025. július 19-én erősítette meg, hogy a sebezhetőséget már aktívan kihasználják.
🛠️ Kockázatok & tünetek
Ha a rendszered fertőzött, ezeket észlelheted:
- Ismeretlen admin fiókok megjelenése
- Szokatlan bejelentkezési IP-k
- Jogosultságok módosulása érzékeny mappákban
- user.xml fájlban új, gyanús bejegyzések
- Felhasználói felület hibás működése vagy hiányzó elemek
🧯 Mit tegyél most?
Azonnali javasolt lépések:
- Frissíts a 10.8.5 vagy 11.3.4_23 verzióra.
- Állíts vissza biztonsági mentésből alapértelmezett felhasználót.
- Ellenőrizd a logokat gyanús letöltési/feltöltési aktivitásra.
- IP-cím whitelist használata admin és szerver elérésre.
- Kapcsold be az automatikus frissítést.
🛡️ DMZ-hálózatba helyezett szerverek védettek lehetnek, de nem minden esetben!
📈 Árulkodó statisztika
A Shadowserver jelentése szerint:
- Világszerte 1.040 CrushFTP szerver továbbra is sebezhető.
- Az érintett szervezeteket aktívan értesítik.
💥 Összefüggések – célkeresztben a fájlküldő rendszerek
A Clop zsarolóvírus-csoport korábban már kihasznált más MFT (Managed File Transfer) rendszerek sebezhetőségeit:
| Rendszer | CVE / támadás |
|---|---|
| Accellion FTA | Zero-day |
| GoAnywhere MFT | Zero-day |
| MOVEit Transfer | CVE-2023-34362 |
| Cleo | Ismert hiba |
Clop csoport jellemzői:
- Orosz nyelvű ransomware hálózat
- Nem támad FÁK-országokat
- 500+ millió dolláros váltságdíj bevétel
- Újabban „titkosítás nélküli zsarolás”: adatlopás + zsarolás
📚 Előzmények: CrushFTP és a zero-day támadások
- 2024. április: CVE-2024-4040 – Súlyos zero-day hiba
- Célpont: amerikai kormányzati rendszerek
- Kihasználás: hitelesítés nélküli hozzáférés a rendszerfájlokhoz
- Motiváció: információszerzés, kémkedés
A CrushFTP az elmúlt évben több súlyos hibát javított, ami azt mutatja: a rendszer stratégiai célponttá vált az APT-csoportok és zsarolóvírusok számára.
🧠 Összefoglaló
| Megnevezés | Részletek |
|---|---|
| CVE azonosító | CVE-2025-54309 |
| Típus | RCE – AS2 validáció hiba |
| Kritikus verziók | 10.8.5 és 11.3.4_23 alattiak |
| Aktív kihasználás | Igen (július 18. óta) |
| Elkerülés | Frissítés + IP whitelist + log audit |
| Érintett rendszerek száma | ~1.000 nyilvánosan elérhető |
| Fenyegetés típusa | Admin átvétel, adatlopás, zsarolás |
