CrushFTP dasturida juda xavfli zaiflik aniqlandi – Server ustidan to‘liq nazorat imkoniyati

2025-yil iyul oyida CrushFTP server dasturida juda xavfli zaiflik aniqlanib, internetga ochiq serverlar tahdid ostida qoldi. Bu zaiflik tajovuzkorlarga foydalanuvchini aniqlamasdan (autentifikatsiyasiz) turib, tizimda xohlagan buyruqni bajarishga imkon beradi. Zaiflik CVE-2025-54309 deb nomlanib, xavfsizlik bo‘yicha eng yuqori — 9.8 ball bilan baholangan.

CrushFTP serverining DMZ (himoyalangan zona) qismida xavfsizlikni tekshirish mexanizmi yetarlicha ishlamaydi. Tajovuzkorlar HTTP POST so‘rovi orqali /WebInterface/function/ manziliga maxsus tayyorlangan XML shaklidagi zararli so‘rov yuborib, tizimga buyruq berishi yoki hatto server ustidan to‘liq nazoratni qo‘lga kiritishi mumkin.

Bu imkoniyat “use-after-free” turidagi zaiflikka o‘xshash, ya’ni tizimdagi xotira noto‘g‘ri boshqarilganda yuzaga chiqadi.

Nega bu xavfli?

  • ❌ Foydalanuvchining kirish huquqi talab qilinmaydi
  • 🌍 Internet orqali bemalol kirish mumkin
  • 💥 Serverda har qanday buyruq bajarilishi mumkin
  • 📜 PoC (hujum kodi) allaqachon ommaga e’lon qilingan

Ya’ni, xakerlar buni sinab ko‘rishga yoki avtomatlashtirilgan hujumlarda ishlatishga allaqachon tayyor.

🛡 Nima qilish kerak?

  1. CrushFTP serveringizni tekshiring — agar sizda DMZ konfiguratsiyasi mavjud bo‘lsa, bu zaiflikdan ta’sirlangan bo‘lishingiz mumkin.
  2. Zudlik bilan rasmiy yamoq (patch)ni o‘rnating.
  3. /WebInterface/function/ manziliga tashqi kirishni tarmoq darajasida bloklang.
  4. XML-RPC protokoli orqali kelayotgan so‘rovlarga monitoring qo‘ying.
  5. So‘nggi versiyani o‘rnating va eskirgan konfiguratsiyalarni yangilang.

Bu zaiflik — juda jiddiy tahdid bo‘lib, tashkilotning butun server infratuzilmasiga zarar yetkazishi mumkin. Ayniqsa, internetga ochiq bo‘lgan serverlar darhol himoyalanishi lozim. Hujum kodi allaqachon e’lon qilinganligi sababli, bu zaiflikni ekspluatatsiya qilish tez orada keng tarqalishi mumkin.

Agar siz CrushFTP’dan foydalanayotgan bo‘lsangiz, hech ikkilanmasdan tizimingizni yangilang va xavfsizlik choralarini ko‘ring. Chunki bu kabi zaifliklar tashkilot obro‘siga va ma’lumotlar xavfsizligiga bevosita xavf tug‘diradi.