CrushFTP’dagi yangi (0-Day) zaifligi orqali serverlarga kirib borilmoqda: Tezda yangilanish tavsiya etilmoqda
2025-yil 18-iyul kuni tonggi soat 09:00da (CST) CrushFTP fayl almashinuvi platformasida aniqlangan yangi (0-day) zaiflik haqidagi xabarlar keng jamoatchilikka e’lon qilindi. Bu zaiflik — CVE-2025-54309 — autentifikatsiyasiz hujumchilar tomonidan HTTPS orqali to‘liq administrator huquqlarini qo‘lga kiritishga imkon beradi.
CrushFTP muhandislarining tushuntirishicha, ushbu zaiflik yoz faslida AS2 bilan bog‘liq boshqa xatolikni bartaraf etish chog‘ida kiritilgan noto‘liq tekshiruv (validatsiya) mantiqidan kelib chiqqan. Hujumchilar ushbu kod o‘zgarishini orqaga muhandislik orqali tahlil qilib, xavfsizlikni aylanib o‘tuvchi zararli HTTP(S) so‘rovlarini yuborish usulini aniqlashgan.
Ayniqsa DMZ proksi funksiyasi faollashtirilmagan holatlarda, bu ekspluatatsiya serverda administrator huquqlarini beradi. Bunday imkoniyat orqali hujumchi “Xudo rejimi”ga o‘xshash to‘liq nazoratga ega bo‘lib, yangi foydalanuvchilar yaratishi, maxfiy ma’lumotlarni yuklab olishi yoki ichki tarmoqda erkin harakatlanishi mumkin.
Taniqli xavfsizlik kompaniyalari Rapid7 va Tenable bu zaiflikni CVSS 3.1 tizimi bo‘yicha 9.0 balldan yuqori deb baholashmoqda. Bu ko‘rsatkich zaiflik tarmoq orqali, hech qanday foydalanuvchi harakatisiz (“zero-click”) ekspluatatsiya qilinishi va server to‘liq boshqaruvga olinishi mumkinligini anglatadi.
Shuningdek, Shadowserver tarmog‘idagi tuzoq serverlar (honeypots) allaqachon ekspluatatsiya urinishlarini qayd eta boshladi. Bu holat 2025-yil bahorida yuz bergan CVE-2025-31161 autentifikatsiya chetlab o‘tish zaifligi bilan bog‘liq to‘lqinlarni eslatmoqda.
Qaysi versiyalar ta’sirlangan?
| Mahsulot | Xavfsiz versiya | Ta’sirlanganlar | Izoh |
|---|---|---|---|
| CrushFTP 11 | 11.3.4_23 yoki yangiroq | < 11.3.4_23 | 11.3.4_26 – tezkor yamoq |
| CrushFTP 10 | 10.8.5 yoki yangiroq | < 10.8.5 | 10.8.5_12 – 18-iyulda chiqarilgan |
Agar server old tomonida (frontend) to‘g‘ri sozlangan DMZ proksi mavjud bo‘lsa, zaiflikdan foydalanish qiyinlashadi. Biroq Rapid7 mutaxassislari faqat DMZ ga tayanmaslikni, kompleks yondashuv zarurligini eslatib o‘tmoqda.
Tahdid belgilarini aniqlash bo‘yicha tavsiyalar
Tizim administratorlari quyidagi belgilarni tekshirishi kerak:
users/MainUsers/default/user.XMLfaylida kutilmagan<last_logins>yozuvi yoki so‘nggi faollik muhrlari;- Qorong‘i “high-entropy” foydalanuvchi nomlari (masalan,
7a0d26089ac52894...) bilan admin huquqlariga ega akkauntlar; - Oddiy foydalanuvchi interfeysida to‘satdan “Admin” tugmasining paydo bo‘lishi;
- G‘ayrioddiy yuklab olish faoliyati va tashqi trafik oqimlari.
Ekspluatatsiyada ilgari ishlatilgan CrushFTP hujum stsenariylarining yangilangan versiyalari ishlatilmoqda — foydalanuvchi yaratish va fayllarni massaviy yuklab olishdan so‘ng masofaviy qobiq (shell) o‘rnatilishi ehtimoli mavjud.
Zudlik bilan ko‘rilishi kerak bo‘lgan choralar:
- Yangilang – CrushFTP 11.3.4_23 / 10.8.5 yoki undan yuqori versiyalariga o‘ting.
- Zaxiradan tiklang – Agar buzilish aniqlansa, 16-iyuldan oldingi zaxira orqali tiklash va zararli foydalanuvchilarni o‘chirish tavsiya etiladi.
- Trafikni tahlil qiling – 16–18-iyul oralig‘ida amalga oshirilgan fayl almashuvlarini ko‘zdan kechiring.
- Himoyani kuchaytiring – Admin interfeysiga kirishni IP bo‘yicha cheklang, faqat HTTPS orqali ulanishni majburiy qiling, ikki bosqichli autentifikatsiyani yoqing, DMZ qo‘llashni ko‘rib chiqing.
- Monitoring va ogohlantirish tizimlari – CERT va ishlab chiquvchi ogohlantirishlariga obuna bo‘ling, Rapid7 va Tenable’ning IDS imzolaridan foydalaning.
Bu zaiflik so‘nggi 15 oy ichida CrushFTP’da aniqlangan uchinchi jiddiy 0-day holatidir. Avvalroq CVE-2024-4040 (VFS sandbox qochib chiqish) va CVE-2025-31161 (AWS4-HMAC chetlab o‘tish) ham muhim tahdid sifatida qayd etilgan.
Bugungi tahdidlar MOVEit, GoAnywhere MFT va Accellion FTA kabi fayl almashinuvi xizmatlarida kuzatilgan ta’minot zanjiri zaifliklarini eslatadi. Hozirda Shodan internet qidiruv tizimi bo‘yicha 5,000 dan ortiq CrushFTP serveri ochiq holatda ishlamoqda, ulardan ko‘pi hali yangilanmagan.
