Een nieuw bekendgemaakte kritische beveiligingsfout in crushftp is in het wild onder actieve uitbuiting gekomen. De CVE -identificatie toegewezen CVE-2025-54309de kwetsbaarheid draagt een CVSS -score van 9,0.
“Crushftp 10 vóór 10.8.5 en 11 vóór 11.3.4_23, wanneer de DMZ -proxy -functie niet wordt gebruikt, is het verkwikken van AS2 -validatie en stelt externe aanvallers in staat om admin -toegang te verkrijgen via HTTPS,” volgens een beschrijving van de kwetsbaarheid in de NIST’s nationale kwetsbaarheidsdatabase (NVD).
Crushftp, in een advies, zei dat het eerst de zero-day exploitatie van de kwetsbaarheid in het wild op 18 juli 2025, 9 uur CST ontdekte, hoewel het erkende dat het veel eerder mogelijk was gewapend.
“De aanvalsvector was HTTP (s) voor hoe ze de server konden exploiteren,” zei het bedrijf. “We hadden een ander probleem opgelost met betrekking tot AS2 in HTTP (s) die zich niet realiseerden dat een eerdere bug kon worden gebruikt zoals deze exploit was. Hackers zagen blijkbaar onze codeverandering en ontdekten een manier om de eerdere bug te exploiteren.”
CrushftP wordt veel gebruikt in de overheids-, gezondheidszorg- en bedrijfsomgevingen om gevoelige bestandsoverdrachten te beheren, waardoor administratieve toegang bijzonder gevaarlijk is. Een gecompromitteerd exemplaar kan aanvallers in staat stellen gegevens te exfiltreren, backdoors te injecteren of in interne systemen te draaien die op de server vertrouwen voor Trusted Exchange. Zonder DMZ -isolatie wordt het blootgestelde exemplaar een enkel faalpunt.
Het bedrijf zei dat de onbekende dreigingsactoren achter de kwaadwillende activiteit erin slaagden om de broncode te reverse engineeren en de nieuwe fout ontdekte om apparaten te richten die nog moeten worden bijgewerkt naar de nieuwste versies. Er wordt aangenomen dat CVE-2025-54309 vóór 1 juli aanwezig was in CrushftP-builds.
CrushftP heeft ook de volgende indicatoren van compromis (IOC’s) vrijgegeven –
- Standaard gebruiker heeft admin -toegang
- Lange willekeurige gebruikers -ID’s gemaakt (bijv. 7A0D26089AC528941BF8CB998D97F408M)
- Andere nieuwe gebruikersnamen gemaakt met admin -toegang
- Het bestand “mainUsers/default/user.xml” is onlangs gewijzigd en heeft een waarde “last_logins” erin
- Knoppen van de eindgebruikersweb -interface verdwenen en gebruikers hebben eerder geïdentificeerd als reguliere gebruikers nu een admin -knop
Beveiligingsteams die mogelijk compromis onderzoeken, moeten de gebruiker.xml-modificatietijden beoordelen, admin-inloggebeurtenissen correleren met openbare IP’s en wijzigingen in de auditvergunning op mappen van hoogwaardige mappen. Het is ook essentieel om te zoeken naar verdachte patronen in toegangslogboeken die zijn gekoppeld aan nieuw gemaakte gebruikers of onverklaarbare adminrol-escalaties, die typische tekenen zijn van post-exploitatiegedrag in real-world inbreukscenario’s.
Als mitigaties beveelt het bedrijf aan dat gebruikers een eerdere standaardgebruiker van de back -upmap herstellen, en rapporten uploaden/downloaden van uploaden/downloaden voor tekenen van verdachte overdrachten. Andere stappen zijn onder meer –
- Beperk de IP -adressen die worden gebruikt voor administratieve acties
- Sta IP’s toe die verbinding kunnen maken met de crushftp -server
- Schakel over naar DMZ crushftp -exemplaar voor gebruik van ondernemingen
- Zorg ervoor dat automatische updates zijn ingeschakeld
In dit stadium is de exacte aard van de aanvallen die de fout exploiteren niet bekend. Eerder in april werd een ander beveiligingsdefect in dezelfde oplossing (CVE-2025-31161, CVSS-score: 9.8) bewapend om de meshcentrale agent en andere malware te leveren.
Vorig jaar bleek ook dat een tweede kritieke kwetsbaarheid van invloed was op CrushftP (CVE-2024-4040, CVSS-score: 9.8) werd door bedreigingsactoren werd gebruikt om zich te richten op meerdere Amerikaanse entiteiten.
Met meerdere hoogwaardige CVE’s die het afgelopen jaar zijn geëxploiteerd, is Crushftp naar voren gekomen als een terugkerend doelwit in geavanceerde bedreigingscampagnes. Organisaties moeten dit patroon beschouwen als onderdeel van bredere beoordelingen van de blootstelling aan bedreigingen, naast patch cadans, externe bestandsoverdrachtrisico’s en nul-day detectieworkflows met tools op afstand en een inlogcompromis.
