CrushFTP je tokom vikenda izdao upozorenje da hakeri aktivno eksploatišu nultodnevnu ranjivost u njegovom softveru za upravljanje prenosom fajlova, kako bi stekli administratorski pristup ranjivim serverima.
Ranjivost, koja nosi oznaku CVE-2025-54309 (CVSS ocjena 9.0), opisuje se kao nepravilno rukovanje AS2 verifikacijom kada DMZ proxy funkcija nije aktivna, što omogućava daljinskim napadačima da dobiju administratorske privilegije putem HTTPS-a.
Prema navodima CrushFTP-a, bezbjednosni propust postoji u verzijama softvera objavljenim prije 1. jula, a zakrpe su uključene u novije verzije softvera, iako vektor napada tada nije bio adresiran.
„Vektor napada je bio HTTP(S) putem kojeg su mogli eksploatisati server. Ispravili smo drugi problem vezan za AS2 u HTTP(S), ne shvatajući da se prethodni bag mogao iskoristiti na način kao što je u ovom napadu“, navodi CrushFTP u svom bezbjednosnom saopštenju.
Kompanija vjeruje da su hakeri najvjerovatnije izvršili obrnuti inženjering i otkrili način da iskoriste ranjivost na nezakrpljenim instancama.
„Hakeri su, očigledno, vidjeli izmjene u kodu i shvatili kako da eksploatišu prethodnu grešku“, navodi CrushFTP.
Prema kompaniji, samo instance koje ne koriste DMZ ispred aplikacije su izložene riziku od eksploatacije.
CrushFTP navodi da su napadi u divljini prvi put zabilježeni ujutro 18. jula, ali eksploatacija je mogla započeti i ranije. Verzije CrushFTP 10 prije 10.8.5 i verzije 11 prije 11.3.4_23 su pogođene. Zakrpe su uključene u verzije 10.8.5_12 i 11.3.4_26.
Indikatori kompromitacije (IoC) uključuju postojanje zapisa ‘last_logins’ u XML fajlu podrazumijevanog korisnika, promijenjeni vremenski pečat tog fajla, administratorski pristup za podrazumijevanog korisnika, prisustvo nasumičnih dugih korisničkih ID-ova, pojavljivanje novih korisničkih imena sa administratorskim privilegijama, nestanak dugmadi sa korisničkog veb interfejsa i pojavljivanje admin dugmeta za obične korisnike.
Dodatno, kompanija objašnjava da su napadači uočeni kako mijenjaju prikazanu verziju softvera da bi stvorili lažan osjećaj bezbjednosti, te podstiče administratore da provjere MD5 hash vrijednosti zbog mogućih manipulacija.
Administratorima se savjetuje da obnove podrazumijevanog korisnika iz prethodnih bekapa ili da ga obrišu — iako bi to takođe uklonilo sva prethodna podešavanja tog korisnika.
„Pregledajte izvještaje o prenosima fajlova – bilo upload ili download. Hakeri su ponovo koristili skripte iz prethodnih eksploatacija kako bi izvršili razne radnje na CrushFTP serverima. Preporučujemo povratak sistema na stanje od 16. jula kako bi se izbjegle potencijalne štetne promjene. Iako smo većinu napada vidjeli ujutro 18. jula, stvarna eksploatacija je mogla započeti dan ranije, dok su administratori spavali“, navodi CrushFTP.
Takođe se preporučuje da administratori ograniče IP adrese koje imaju pristup administratorskim nalozima, filtriraju IP-ove dozvoljene za povezivanje na server, koriste CrushFTP instancu unutar DMZ-a ispred alata za prenos fajlova i omoguće automatska ažuriranja kako bi uvijek bili na najnovijoj verziji aplikacije.
Izvor: SecurityWeek
