В июле 2025 года было обнаружено и активно эксплуатировалось крайне опасное уязвимое место в программе для управления файловыми передачами CrushFTP. Эта уязвимость получила идентификатор CVE-2025-54309 и обладает высокой степенью критичности, что подтверждается оценкой CVSS 9.0. Данный дефект затрагивает версии CrushFTP 10 до 10.8.
5 и 11 до 11.3.4_23 при условии, что не используется функция DMZ proxy. Суть проблемы — некорректная обработка механизма валидации AS2, которая позволяет злоумышленникам получить удалённый доступ с правами администратора через HTTPS. Такие атаки несут огромную опасность, так как CrushFTP широко используется в государственных учреждениях, в сфере здравоохранения и крупных корпоративных средах, где передаются особо чувствительные данные.
Контроль над административной учётной записью открывает путь к масштабным нарушениям безопасности — от кражи и модификации данных до проникновения во внутренние сетевые ресурсы. Наличие сервера без надёжной изоляции DMZ превращает его в потенциальную точку единой неисправности в инфраструктуре организации. Компания-разработчик CrushFTP подтвердила, что впервые зафиксировала атаки с использованием данной уязвимости 18 июля 2025 года и предположила, что эксплуатироваться она могла дольше. Интересно, что новая атака возникла на фоне недавнего исправления иной проблемы, также связанной с AS2 в протоколе HTTP(S). Хакеры, изучив изменения исходного кода, смогли найти способ обойти новую защиту, вернувшись к более старому багу и создав эффективную мультиэтапную атаку.
В ходе проведения расследований специалисты обнаружили, что злоумышленники использовали технику обратного инжиниринга исходного кода CrushFTP, что позволило им выявить и коррелировать новый эксплойт. По некоторым данным, уязвимость присутствовала во всех выпусках продукта, предшествующих 1 июля 2025 года. Для оперативного обнаружения возможных взломов рекомендуются проверки времени изменения ключевого файла user.xml, наличие необъяснимых изменений в правах доступа, а также отслеживание активности по аномальным IP-адресам и появлению новых пользователей с административными полномочиями. Признаками скомпрометированного сервера могут служить как исчезновение стандартных элементов интерфейса, так и появление на них новых кнопок с функциями администратора у пользователей, ранее не обладавших высоким уровнем доступа.
Наиболее эффективными мерами по снижению риска атак считаются ограничение административного доступа по IP-адресам, создание белых списков для подключения к серверу, а также использование изолированной зоны DMZ для работы сервера в корпоративной сети. Компания CrushFTP настоятельно рекомендует своевременно обновлять продукт до последних версий и по возможности восстанавливать дефолтные учётные записи из проверенных резервных копий. Также следует внимательно анализировать отчёты по загрузкам и скачиваниям данных для выявления подозрительных действий. Имея в виду предыдущие подобные инциденты с CrushFTP, включая CVE-2025-31161 и CVE-2024-4040 с оценками CVSS близкими к максимальным, становится очевидным, что данное программное обеспечение является частой мишенью для продвинутых кибератак. Это требует от организаций системного подхода к управлению уязвимостями, включая регулярное обновление ПО, мониторинг активности и использование современных решений по обнаружению и реагированию на инциденты.
Анализ атак, выполненный компанией ReliaQuest, показал, что изначальные попытки проникновения посредством CVE-2025-54309 часто сопровождались неудачными входами, однако злоумышленники быстро модифицировали свои техники, в результате чего удалось получить контроль над учётной записью «crushadmin». После этого ими проводились операции по перечислению всех директорий и извлечению метаданных, что является подготовительным этапом для дальнейшего саботажа и создания устойчивых точек входа. В частности, злоумышленники пытались переопределить дефолтного администратора, чтобы использовать его в качестве постоянной «закладки» для доступа к серверу. Целями атак также становились важные каталоги виртуальной файловой системы с целью закрепления контроля. Однако ряд действий были заблокированы благодаря наличию политики безопасности и наложению ограничений по IP.
По данным портала Censys, более 55 тысяч устройств продолжают выставлять в сеть веб-интерфейс CrushFTP, что значительно расширяет потенциальную площадь атаки. Точная доля уязвимых экземпляров не определена, что усиливает важность проведения аудитов и своевременного патчинга. С технической точки зрения уязвимость CVE-2025-54309 связана с проблемой состояния гонки. Она эксплуатируется последовательностью двух видов HTTPS-запросов с определёнными заголовками, среди которых ключевой является AS2-TO, указывающий на имя административного пользователя «crushadmin». Когда запросы исполняются в нужной последовательности и с нужными значениями, сервер в итоге присваивает новым пользователям права администратора.
Реализовать эксплойт невозможно одним лишь запросом, но только цепочкой, что указывает на сложность атаки, а также на необходимость комплексного подхода к её предотвращению. Уязвимость уже внесена в каталог известных эксплуатируемых угроз CISA с требованием устранить её в федеральных органах до 12 августа 2025 года, что подчеркивает важность своевременного реагирования на подобные уязвимости. В целом ситуация вокруг CrushFTP демонстрирует, как ошибки программной реализации и медленные темпы обновления связанного ПО значительно повышают риски для безопасности целевых организаций. Владельцам и администраторам серверов рекомендуется незамедлительно проводить аудит безопасности, применять доступные обновления и пересматривать архитектуру использования продукта, уделяя особое внимание изолированию сервисов и жесткому контролю доступа. Данная проблема отражает общую тенденцию роста атак на системы передачи файлов, которые становятся важной частью инфраструктуры большинства современных предприятий и государственных организаций.
Успешные атаки способны привести к утечкам конфиденциальной информации, нарушению бизнес-процессов и серьёзным убыткам, поэтому вопросы обеспечения безопасности при работе с такими системами должны рассматриваться в приоритетном порядке. Реализация комплексной стратегии защиты, включающей технические меры, своевременную коррекцию уязвимостей и обучение персонала, может существенно снизить вероятность успешного компрометации и повысить устойчивость к современным киберугрозам.
