A hekkerek újabban a CrushFTP-n élősködnek

A hekkerek újabban a CrushFTP-n élősködnek
A CrushFTP szerverei súlyos biztonsági hibán keresztül váltak sebezhetővé, amely aktív támadásokhoz vezetett. Ez a nulladik napi sérülékenység – CVE-2025-54309 – lehetővé teszi, hogy támadók adminisztrátori jogokat szerezzenek a webszerveren keresztül. A CrushFTP az egyik legszélesebb körben használt vállalati fájlmegosztó rendszer, amely FTP, SFTP, HTTP/S és más protokollokon képes fájlokat mozgatni.

A sérülékenység eredete

Július 18-án, magyar idő szerint reggel 16 órakor észlelték az első támadásokat, de valószínűleg a visszaélések már korábban elkezdődtek. Érdekesség, hogy egy korábbi hibajavítás, amely az AS2 funkciót érintette volna, véletlenül betömte ezt a most kihasznált rést is – bár ez nem volt szándékos. Miután a támadók visszafejtették a CrushFTP forráskódját, kiszúrták az új hibát, és azokat támadták, akik nem telepítették a legfrissebb javításokat.

Kiket és hogyan érint?

A támadás elsősorban a 2024. július 1. előtt kiadott verziókat érinti, vagyis a CrushFTP v10.8.5 és v11.3.4_23 előtti kiadásokat. A legújabb verziókban már javították a hibát, így akik rendszeresen frissítenek, védettek maradtak. Azok a vállalati ügyfelek, akik ún. DMZ-megoldást alkalmaznak (egy különálló CrushFTP-szervert használnak az éles rendszer védelmére), nem tűnnek érintettnek – bár a Rapid7 kiberbiztonsági cég szerint önmagában a DMZ sem jelent mindenre megoldást.

Veszély jelei és védekezés

Ha valaki arra gyanakszik, hogy rendszere kompromittálódott, célszerű a július 16. előtti biztonsági mentésből visszaállítani az alapértelmezett felhasználók beállításait. A kompromittálás jelei lehetnek: furcsa módosítások a MainUsers/default/user.XML fájlban, főleg a last_logins mezőben, vagy ismeretlen adminisztrátori fiókok megjelenése (pl. 7a0d26089ac528941bf8cb998d97f408m).

A védekezési stratégiák között szerepel: IP-cím alapú engedélyezési lista, DMZ használata, automatikus frissítések bekapcsolása, valamint a feltöltési és letöltési események fokozott naplózása.


Hasonló támadások és a veszély mértéke

Az elmúlt években a fájlátviteli rendszerek komoly célponttá váltak, és egyre több a zsarolóvírusos támadás. A tapasztalatok azt mutatják, hogy korábban más platformok, például a MOVEit (MOVEit), GoAnywhere (GoAnywhere), Accellion (Accellion) vagy a Progress Software (Progress Software) is súlyos adatszivárgásokat szenvedtek el, amelyekhez a Clop nevű banda köthető. Most a CrushFTP is felkerült a lista élére, ezért minden adminisztrátornak érdemes átvizsgálnia rendszereit.

2025, adrienne, www.bleepingcomputer.com alapján

  • Te mennyire bízol egy szoftverben, ha ennyi hiba derül ki róla?
  • Szerinted mennyire etikus, ha valaki nem javítja az ismert sebezhetőségeket?
  • Mit tartasz fontosabbnak: gyors fejlesztést vagy alapos biztonsági ellenőrzést?




Legfrissebb posztok


Címlapon

Az MI-s Korlátlan Reklámgépezet: Így Etet Minket a Meta
Az eltűnt La Niña nyomában
Az életmentéstől a pizzáig: a Zipline drónok lenyűgöző útja
A csontgyűjtő hernyó: rémálmaid kannibál kis vadja
Az önvezető autók új szabályozási rendszere: káoszgyorsító vagy csodafegyver?