Una equivocación de seguridad crítica recientemente revelada en Crushftp ha sido objeto de una explotación activa en la naturaleza. Asignado el identificador CVE CVE-2025-54309la vulnerabilidad lleva una puntuación CVSS de 9.0.
«CrushftP 10 antaño de 10.8.5 y 11 antaño de 11.3.4_23, cuando no se usa la función de proxy DMZ, maneita la energía de AS2 y, en consecuencia, permite a los atacantes remotos obtener llegada oficial a través de HTTPS», según una descripción de la vulnerabilidad en la data de vulnerabilidad doméstico de NIST (NVD).
Crushftp, en un aviso, dijo que primero detectó la explotación del día cero de la vulnerabilidad en la naturaleza el 18 de julio de 2025, las 9 a.m. CST, aunque reconoció que pudo acaecer sido armado mucho antaño.
«El vector de ataque era HTTP (s) de cómo podían explotar el servidor», dijo la compañía. «Habíamos solucionado un problema diferente relacionado con AS2 en HTTP (s) que no nos dimos cuenta de que un error preparatorio podría estar de moda como este exploit. Los piratas informáticos aparentemente vieron nuestro cambio de código y descubrieron una forma de explotar el error preparatorio».
CrushFTP es ampliamente utilizado en entornos gubernamentales, de atención médica y empresariales para dirigir transferencias de archivos sensibles, lo que hace que el llegada oficial sea especialmente peligroso. Una instancia comprometida puede permitir a los atacantes exfiltrar datos, inyectar puertas traseras o pivotar en sistemas internos que dependen del servidor para un intercambio confiable. Sin aislamiento de DMZ, la instancia expuesta se convierte en un solo punto de equivocación.
La compañía dijo que los actores de amenaza desconocidos detrás de la actividad maliciosa lograron ingeniería inversa de su código fuente y descubrieron el nuevo defecto para dirigir dispositivos que aún no se han actualizado a las últimas versiones. Se cree que CVE-2025-54309 estaba presente en las construcciones de Crushftp antaño del 1 de julio.
CrushFTP igualmente ha osado los siguientes indicadores de compromiso (COI) –
- El adjudicatario predeterminado tiene llegada de administrador
- IDS de adjudicatario aleatorios creados (por ejemplo, 7A0D26089AC528941BF8CB998D97F408M)
- Otros nuevos nombres de adjudicatario creados con llegada oficial
- El archivo «mainusers/default/user.xml» se modificó recientemente y tiene un valencia «last_logins» en él
- Los recadero de la interfaz web del adjudicatario final desaparecieron, y los usuarios previamente identificados como usuarios regulares ahora tienen un mando de distribución
Los equipos de seguridad que investigan el posible compromiso deben revisar los tiempos de modificación de user.xml, correlacionar eventos de inicio de sesión de distribución con IP públicas y cambios de permiso de auditoría en carpetas de suspensión valencia. Incluso es esencial agenciárselas patrones sospechosos en registros de llegada vinculados a usuarios recién creados o escaladas de roles de distribución inexplicables, que son signos típicos de comportamiento posterior a la explotación en escenarios de violación del mundo efectivo.
Como mitigaciones, la compañía recomienda que los usuarios restauren un adjudicatario predeterminado preparatorio desde la carpeta de copia de seguridad, así como revisen informes de carga/descarga para cualquier signo de transferencias sospechosas. Otros pasos incluyen –
- Limite las direcciones IP utilizadas para acciones administrativas
- IPS DESLISTIST IP que puede conectarse al servidor CrushFTP
- Cambiar a la instancia DMZ Crushftp para uso empresarial
- Asegúrese de que las actualizaciones automáticas estén habilitadas
En esta etapa, se desconoce la naturaleza exacta de los ataques que explotan el defecto. A principios de abril, otro defecto de seguridad en la misma opción (CVE-2025-31161, puntaje CVSS: 9.8) se armó para entregar el agente Meshcentral y otro malware.
El año pasado, igualmente surgió que una segunda vulnerabilidad crítica que impacta a CrushFTP (CVE-2024-4040, puntaje CVSS: 9.8) fue laborioso por los actores de amenaza para atacar múltiples entidades estadounidenses.
Con múltiples CVE de incorporación severidad explotados durante el año pasado, CLSFTFTP se ha convertido en un objetivo recurrente en las campañas de amenazas avanzadas. Las organizaciones deben considerar este patrón como parte de evaluaciones de exposición a amenazas más amplias, próximo con cadencia de parche, riesgos de transferencia de archivos de terceros y flujos de trabajo de detección de día cero que involucran herramientas de llegada remoto y compromiso de credenciales.
