آسیب‌پذیری روز صفر CrushFTP به هکرها امکان کنترل سرورها را می‌دهد

CrushFTP نسبت به بهره‌برداری فعال مهاجمان از یک آسیب‌پذیری روز صفر با شناسه CVE-2025-54309 هشدار داد؛ این آسیب‌پذیری به مهاجمان امکان دسترسی مدیریتی از طریق رابط وب بر روی سرورهای آسیب‌پذیر را می‌دهد.

CrushFTP یک سرور انتقال فایل سازمانی است که توسط سازمان‌ها برای اشتراک‌گذاری و مدیریت ایمن فایل‌ها از طریق پروتکل‌هایی نظیر FTP، SFTP، HTTP/S و سایر پروتکل‌ها مورد استفاده قرار می‌گیرد.

به گفته CrushFTP، نخستین فعالیت‌های بهره‌برداری از این آسیب‌پذیری توسط مهاجمان در تاریخ ۱۸ جولای ساعت ۹ صبح به وقت مرکزی آمریکا (CST) شناسایی شده، اگرچه ممکن است حملات از ساعات اولیه روز قبل آغاز شده باشد.

Ben Spink، مدیرعامل CrushFTP، در گفت‌وگو با BleepingComputer اظهار داشت که پیش‌تر یک آسیب‌پذیری مرتبط با AS2 در HTTP(S) را اصلاح کرده بودند که به‌طور اتفاقی این نقص امنیتی را نیز مسدود کرده بود.

او گفت:
«اصلاح قبلی به‌طور تصادفی موجب مسدودسازی این آسیب‌پذیری شد، اما هدف آن اصلاح، حل مشکل دیگری بود که با غیرفعال‌سازی یک ویژگی به‌ندرت استفاده‌شده به‌طور پیش‌فرض انجام شد.»

CrushFTP معتقد است که مهاجمان با مهندسی معکوس نرم‌افزار، موفق به شناسایی این نقص جدید شده و شروع به بهره‌برداری از آن در سامانه‌هایی کرده‌اند که به‌روزرسانی نشده‌اند.

در اطلاعیه CrushFTP آمده است:
«بر این باوریم که این نقص در نسخه‌هایی پیش از حدود اول جولای وجود داشته است… نسخه‌های جدیدتر CrushFTP پیش‌تر این مشکل را اصلاح کرده‌اند.»

بردار حمله از طریق HTTP(S) بوده و مهاجمان از این مسیر موفق به بهره‌برداری از سرور شده‌اند. به گفته Spink:
«ما در حال اصلاح مشکل دیگری مرتبط با AS2 در HTTP(S) بودیم و متوجه نبودیم که آن نقص پیشین می‌تواند به شیوه‌ای مشابه برای این نوع بهره‌برداری مورد استفاده قرار گیرد. مهاجمان ظاهراً تغییرات کد ما را مشاهده کرده و راهی برای سواستفاده از آن یافتند.»

CrushFTP بار دیگر بر اهمیت به‌روزرسانی منظم تأکید کرد و افزود:
«همان‌طور که همیشه توصیه می‌کنیم، به‌روزرسانی مستمر و منظم بسیار حیاتی است. کاربرانی که نسخه‌های خود را به‌روز نگه داشته بودند، از این بهره‌برداری در امان مانده‌اند.»

این حمله از طریق رابط وب در نسخه‌هایی پیش از CrushFTP v10.8.5 و CrushFTP v11.3.4_23 صورت می‌گیرد. تاریخ دقیق انتشار این نسخه‌ها مشخص نیست اما CrushFTP اعلام کرده این نسخه‌ها حدود اول جولای منتشر شده‌اند.

CrushFTP تأکید می‌کند سامانه‌هایی که به‌روزرسانی شده‌اند در برابر این آسیب‌پذیری مصون هستند.

به‌نظر نمی‌رسد مشتریان سازمانی که از نمونه CrushFTP در محیط DMZ برای ایزوله‌سازی سرور اصلی استفاده می‌کنند تحت‌تأثیر این آسیب‌پذیری قرار گرفته باشند.

مدیران سامانه‌هایی که احتمال می‌دهند مورد نفوذ قرار گرفته‌اند توصیه شده است تنظیمات پیش‌فرض کاربر را از نسخه پشتیبان قبل از ۱۶ جولای بازیابی کنند. شاخص‌های نفوذ شامل موارد زیر هستند:

• ورودهای غیرمنتظره در فایل MainUsers/default/user.XML، به‌ویژه اصلاحات اخیر یا وجود فیلد last_logins
• ایجاد نام‌های کاربری با سطح دسترسی مدیر که ناشناس و غیرقابل شناسایی هستند، مانند: ۷a0d26089ac528941bf8cb998d97f408m

Spink اظهار داشت:
«به‌طور کلی، بیشترین شاخص نفوذ مشاهده‌شده، تغییر در کاربر پیش‌فرض است که به شیوه‌ای نامعتبر اما قابل استفاده برای مهاجم و غیرقابل استفاده برای دیگران انجام شده است.»

CrushFTP توصیه می‌کند برای کاهش ریسک بهره‌برداری، اقدامات زیر انجام شود:

• استفاده از لیست سفید IP برای دسترسی به سرور و پنل مدیریت
• بهره‌گیری از نمونه CrushFTP در محیط DMZ
• فعال‌سازی به‌روزرسانی خودکار

با این حال، شرکت امنیت سایبری Rapid7 اعلام کرده استفاده از محیط DMZ ممکن است به‌تنهایی راهکار مؤثری برای جلوگیری از بهره‌برداری نباشد.

Rapid7 هشدار داد:
«به‌دلایل امنیتی، توصیه می‌شود که صرفاً به محیط DMZ به‌عنوان راهکار کاهش ریسک اتکا نشود.»

در حال حاضر مشخص نیست که هدف این حملات سرقت داده بوده یا استقرار بدافزار، اما راهکارهای مدیریت فایل سازمانی در سال‌های اخیر به اهداف ارزشمند برای کارزارهای سرقت داده تبدیل شده‌اند.

در گذشته، گروه‌های باج‌افزاری، به‌ویژه Clop، بارها از آسیب‌پذیری‌های روز صفر در پلتفرم‌های مشابه مانند Cleo، MOVEit Transfer، GoAnywhere MFT و Accellion FTA برای سرقت گسترده داده‌ها و انجام حملات باج‌خواهی سوءاستفاده کرده‌اند.