超过1000个CrushFTP服务器持续暴露在劫持攻击中

在网上暴露的超过1000个CrushFTP实例易受劫持攻击的威胁，这些攻击利用了一个严重的安全漏洞，提供对网页界面的管理员访问权限。

该安全漏洞（CVE-2025-54309）是由于错误处理AS2验证，并影响10.8.5和11.3.4_23以下的所有CrushFTP版本。该供应商在7月19日将该漏洞标记为在野外被积极利用，并指出攻击可能更早开始，尽管它尚未找到证据来证实这一点。

7月18日上午9点，CrushFTP在野外发现了一个0day漏洞。它可能持续了更长的时间。黑客显然对其代码进行了逆向工程，发现了一些CrushFTP已经修复的bug。

但CrushFTP最近表示，保持最新状态的服务器不容易受到攻击，并指出使用非军事区（DMZ）实例隔离其主服务器的客户不会受到此漏洞的影响。

该公司还建议审查上传和下载日志中的异常活动，以及启用自动更新和服务器和管理访问的白名单ip，以进一步减少利用企图。

根据安全威胁监控平台Shadowserver的扫描，大约有1040个CrushFTP实例仍然没有针对CVE-2025-54309打补丁，很容易受到攻击。

ShadowServer通知CrushFTP客户，他们的服务器不受正在进行的CVE-2025-54309攻击的保护，将其内容暴露给数据盗窃企图。

虽然目前还不清楚这些正在进行的攻击是部署恶意软件还是用于窃取数据，但近年来，像CrushFTP这样的托管文件传输解决方案一直是勒索软件团伙的高价值目标。仅Clop网络犯罪团伙就与针对Accelion FTA、GoAnywhere MFT、MOVEit Transfer以及最近的Cleo软件的零日漏洞的多次数据盗窃活动有关。

据悉，2024年4月，CrushFTP还修补了一个被积极利用的零日漏洞（追踪为CVE-2024-4040），该漏洞允许未经身份验证的攻击者逃离用户的虚拟文件系统（VFS）并下载系统文件。

当时，网络安全公司CrowdStrike发现有证据表明，针对多个美国组织的CrushFTP实例的攻击可能出于政治动机，主要目的是收集情报。