Новости Окно в админку: критическая уязвимость в CrushFTP уже в деле — хакеры заходят как к себе домой

[BOOX]

В популярном решении для защищенного обмена файлами CrushFTP обнаружена и активно эксплуатируется критическая уязвимость — CVE-2025-54309 с баллом 9.0 по CVSS.

Дырка позволяет злоумышленникам получить админ-доступ к серверу через HTTPS, даже без использования DMZ-прокси. То есть, если у вас настроен CrushFTP «напрямую», вы потенциально уже в зоне поражения.

Как пояснили сами разработчики, баг касается механизма AS2 в HTTP(S), и, что особенно показательно, — хакеры нашли способ его эксплуатации, заметив патч к другому уязвимому участку кода. В результате — классическая история: одно залатали, другое открыли. Учитывая, что CrushFTP используется в госсекторе, здравоохранении и крупных компаниях, последствия могут быть серьезными.

Атаки были замечены 18 июля, но эксперты не исключают, что уязвимость использовалась и раньше. Следы взлома включают появление новых админ-пользователей с длинными случайными ID, модификацию файла user.xml, пропажу кнопок в интерфейсе обычных пользователей и неожиданное появление прав администратора.

Разработчики советуют:

• откатить default-пользователя из бэкапа;
• ограничить IP-адреса для админ-доступа;
• включить автообновления;
• перевести сервер в DMZ-режим;
• проанализировать логи входа и действий новых пользователей.

К слову, это уже не первый критический баг в CrushFTP за последние месяцы. В апреле через другую уязвимость (CVE-2025-31161) распространяли вредоносный агент MeshCentral. А ещё раньше была эксплуатирована CVE-2024-4040. Если вы используете CrushFTP — обновляйтесь немедленно. Иначе админ-доступ к вашему серверу может получить кто угодно.

Для просмотра ссылки необходимо нажать Вход или Регистрация