یک نقص امنیتی بحرانی که بهتازگی در CrushFTP افشا شده است، بهطور فعال مورد بهرهبرداری قرار گرفته است. این آسیبپذیری که با شناسه CVE-2025-54309 مشخص شده است، امتیاز ۹ در CVSS را دارد.
طبق توضیحات[۱] این آسیبپذیری در پایگاه داده ملی آسیبپذیریهای NIST (NVD)، CrushFTP 10 قبل از ۱۰٫۸٫۵ و ۱۱ قبل از ۱۱٫۳٫۴_۲۳، زمانی که از ویژگی پروکسی DMZ استفاده نمیشود، اعتبارسنجی AS2 را بهدرستی مدیریت نمیکند و درنتیجه به مهاجمان از راه دور اجازه میدهد تا از طریق HTTPS به دسترسی ادمین دسترسی پیدا کنند.
CrushFTP در یک گزارش اعلام کرد که اولین بار بهرهبرداری از این آسیبپذیری روز صفر را در ۱۸ ژوئیه ۲۰۲۵، ساعت ۹ صبح بهوقت CST شناسایی کرده است، اگرچه اذعان کرد که ممکن است خیلی زودتر از آن مورد بهرهبرداری قرار گرفته باشد.
این شرکت اعلام کرد[۲]: «بردار حمله برای بهرهبرداری از سرور، HTTP(S) بوده است. ما یک مشکل دیگر مربوط به AS2 در HTTP(S) را برطرف کرده بودیم، بدون اینکه متوجه باشیم یک اشکال قبلی میتواند مانند این بهرهبرداری مورداستفاده قرار گیرد. ظاهراً هکرها تغییر کد ما را دیده و راهی برای بهرهبرداری از اشکال قبلی پیدا کردهاند.»
CrushFTP بهطور گسترده در محیطهای دولتی، مراقبتهای بهداشتی و سازمانی برای مدیریت انتقال فایلهای حساس استفاده میشود – که دسترسی مدیریتی را بهویژه خطرناک میکند. یک نمونه آسیبدیده میتواند به مهاجمان اجازه دهد دادهها را استخراج کنند، درهای پشتی تزریق کنند یا به سیستمهای داخلی که برای تبادل قابلاعتماد به سرور متکی هستند، نفوذ کنند. بدون جداسازی DMZ، نمونه در معرض خطر به یک نقطه شکست واحد تبدیل میشود.
این شرکت اعلام کرد که عوامل تهدید ناشناس پشت این فعالیت مخرب موفق به مهندسی معکوس کد منبع آن شده و نقص جدید را برای هدف قرار دادن دستگاههایی که هنوز به آخرین نسخهها بهروزرسانی نشدهاند، کشف کردهاند. اعتقاد بر این است که CVE-2025-54309 در نسخههای قبل از ۱ جولای CrushFTP وجود داشته است.
CrushFTP همچنین شاخصهای نفوذ (IoC) زیر را منتشر کرده است:
- کاربر پیشفرض دسترسی ادمین دارد.
- شناسههای کاربری تصادفی طولانی ایجاد شده است (بهعنوانمثال، ۷a0d26089ac528941bf8cb998d97f408m)
- نامهای کاربری جدید دیگری با دسترسی ادمین ایجاد شدهاند.
- فایل “MainUsers/default/user.xml” اخیراً اصلاحشده و مقدار “last_logins” در آن وجود دارد.
- دکمههای رابط وب کاربر نهایی ناپدید شدهاند و کاربرانی که قبلاً بهعنوان کاربران معمولی شناسایی میشدند، اکنون یک دکمه ادمین دارند.
تیمهای امنیتی که در حال بررسی نفوذ احتمالی هستند باید زمانهای اصلاح user.xml را بررسی کنند، رویدادهای ورود ادمین را با IPهای عمومی مرتبط کنند و تغییرات مجوز را در پوشههای با ارزش بالا بررسی کنند. به دنبال الگوهای مشکوک در گزارشهای دسترسی مرتبط با کاربران تازه ایجاد شده یا افزایش نقشهای مدیریتی نامشخص باشید – نشانههای معمول رفتار پس از بهرهبرداری در سناریوهای نقض امنیتی در دنیای واقعی.
بهعنوان اقدامات کاهشی، این شرکت توصیه میکند که کاربران یک کاربر پیشفرض قبلی را از پوشه پشتیبان بازیابی کنند و همچنین گزارشهای آپلود/دانلود را برای هرگونه نشانهای از انتقالهای مشکوک بررسی کنند. مراحل دیگر عبارتاند از:
- محدود کردن آدرسهای IP مورداستفاده برای اقدامات مدیریتی
- لیست کردن IPهایی که میتوانند به سرور CrushFTP متصل شوند.
- برای استفاده سازمانی به نمونه DMZ CrushFTP تغییر دهید.
- اطمینان حاصل کنید که بهروزرسانیهای خودکار فعال هستند.
در این مرحله، ماهیت دقیق حملاتی که از این نقص بهرهبرداری میکنند، مشخص نیست. در اوایل ماه آوریل، یک نقص امنیتی دیگر در همان راهحل (CVE-2025-31161، امتیاز ۹٫۸ در CVSS) برای ارائه عامل MeshCentral و سایر دژافزارها مورداستفاده قرار گرفت[۳].
سال گذشته، همچنین مشخص شد که یک آسیبپذیری بحرانی دوم که CrushFTP را تحت تأثیر قرار میدهد (CVE-2024-4040، امتیاز ۹٫۸ در CVSS) توسط عوامل تهدید برای هدف قرار دادن چندین نهاد آمریکایی مورداستفاده قرار گرفته است[۴].
با بهرهبرداری از چندین CVE با شدت بالا در طول سال گذشته، CrushFTP بهعنوان یک هدف مکرر در کمپینهای تهدید پیشرفته ظاهر شده است. سازمانها باید این الگو را بهعنوان بخشی از ارزیابیهای گستردهتر مواجهه با تهدید، در کنار آهنگ بهروزرسانی، خطرات انتقال فایل شخص ثالث و گردشهای کاری تشخیص روز صفر شامل ابزارهای دسترسی از راه دور و به خطر انداختن اعتبارنامهها در نظر بگیرند.
منابع
[۱] https://nvd.nist.gov/vuln/detail/CVE-2025-54309
[۲] https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025
[۳] https://thehackernews.com/2025/04/cisa-adds-crushftp-vulnerability-to-kev.html
[۴] https://apa.aut.ac.ir/?p=10430
[۵] https://thehackernews.com/2025/07/hackers-exploit-critical-crushftp-flaw.html
ثبت ديدگاه