Een kwetsbaarheid in oudere versies van CrushFTP wordt actief misbruikt. Alleen gebruikers die recent geüpdatet hebben, blijven buiten schot.
CrushFTP laat weten dat hackers een zero day-kwetsbaarheid (CVE-2025-54309) in het platform misbruiken. CrushFTP is een commerciële oplossing voor bestandsoverdracht met ondersteuning voor webgebaseerd beheer, gebruikersbeheer en beveiligde protocollen.
Aanvallen worden al is sinds 18 juli in het wild waargenomen. Mogelijk is de bug al eerder door hackers ingezet, maar daarover bestaat geen data. De kwetsbaarheid werd ontdekt in oudere versies van de software en is sinds begin juli gedicht in een patch.
Oude versies
De aanval maakt gebruik van een fout die via HTTP(S) uitgebuit kan worden. Volgens CrushFTP gaat het om een bug die eerder al werd opgelost, maar waarvan toen de volledige impact niet duidelijk was. Hackers analyseerden recente codewijzigingen en ontdekten een manier om via die oude bug toch een aanval uit te voeren. Klanten die tijdig overstapten op een nieuwe versie bleven gevrijwaard. Dat illustreert opnieuw het belang van tijdig updaten.
Volgende versies zijn wel kwetsbaar:
- Alle versie 10-builds ouder dan 10.8.5
- Alle versie 11-builds ouder dan 11.3.4_23
Enterprise-klanten die gebruikmaken van een aparte DMZ-instantie van CrushFTP worden niet getroffen. De fabrikant raadt aan om standaardpraktijken rond patchbeheer strikt op te volgen.
Herstel en bescherming
Wie vermoedt dat zijn server gecompromitteerd is, kan via de backupmap de standaardgebruiker herstellen. Daarbij moet een eerder opgeslagen versie van het user.XML-bestand opnieuw geplaatst worden. De leverancier raadt aan om terug te keren naar een back-up van vóór 16 juli om zeker te zijn dat er geen malafide wijzigingen zijn gebeurd.
lees ook
Hackers vallen Microsoft SharePoint wereldwijd aan via zero day: patch nu
Verder spoort CrushFTP gebruikers aan om verdachte acties te controleren. Zo kunnen ongebruikelijke gebruikers-ID’s of recente aanpassingen aan het standaard gebruikersprofiel een indicatie zijn van een inbraak. Hackers zouden ook geprobeerd hebben om de weergegeven softwareversie aan te passen om detectie te voorkomen.
Tot slot stelt CrushFTP enkele preventieve maatregelen voor: beperk IP-toegang, gebruik een DMZ-opstelling in enterprise-omgevingen en schakel automatische updates in. Gebruikers kunnen zich ook registreren voor dringende meldingen via de ondersteuningssite van het bedrijf.