新的 CrushFTP 零日漏洞被利用來劫持伺服器
CrushFTP 警告稱,威脅行為者正在積極利用編號為 CVE-2025-54309 的零日漏洞,該漏洞允許攻擊者透過易受攻擊的伺服器上的 Web 介面獲得管理存取權限。據 CrushFTP 稱,威脅行為者於 7 月 18 日上午 9 點(CST)首次發現利用該漏洞,儘管漏洞可能在前一天凌晨就已開始。
CrushFTP 是企業檔案傳輸伺服器,組織使用它透過 FTP、SFTP、HTTP/S 和其他協定安全地共用和管理檔案。CrushFTP 執行長 Ben Spink 告訴 BleepingComputer,他們之前已經修復了 HTTP(S) 中與 AS2 相關的漏洞,無意中也阻止了這個零日漏洞。
CrushFTP 的公告中寫道:“我們認為這個漏洞大約出現在 7 月 1 日之前的版本中……CrushFTP 的最新版本已經修補了這個問題。” 使用 DMZ CrushFTP 執行個體隔離其主伺服器的企業客戶不會受到此漏洞的影響。建議懷疑系統已遭入侵的管理員從 7 月 16 日之前的備份中還原預設使用者配置。入侵指標包括:
- MainUsers/default/user.XML 中的意外條目,尤其是最近的修改或
last_logins欄位 - 新的、無法識別的管理員級用戶名,例如7a0d26089ac528941bf8cb998d97f408m。
CrushFTP 建議檢查上傳和下載日誌中是否有異常活動,並採取以下步驟來減輕攻擊。不過,網路安全公司 Rapid7 表示,使用 DMZ 可能不是防止攻擊的可靠策略。
- 伺服器和管理員訪問的 IP 白名單
- 使用 DMZ 實例
- 啟用自動更新
資料來源:https://www.bleepingcomputer.com/news/security/new-crushftp-zero-day-exploited-in-attacks-to-hijack-servers/