Обнаружена серьезная уязвимость в CrushFTP, и киберпреступники начали ее использовать!

🔴 Активное использование уязвимости CVE-2025-2825! 🔴

После обнаружения уязвимости в CrushFTP, связанной с обходом аутентификации, киберпреступники начали активно использовать ее в своих атаках. По данным Shadowserver Foundation, на 30 марта 2025 года 1,512 уязвимых серверов все еще остаются открытыми в Интернете. Наибольшее количество уязвимых серверов находится в Северной Америке (891 сервер).

Эта уязвимость затрагивает версии CrushFTP 10.0.0 – 10.8.3 и 11.0.0 – 11.3.0. Уязвимость CVE-2025-2825 оценивается по шкале CVSS в 9.8 баллов, и ее эксплуатация может привести к полному захвату сервера.

Эксперты отмечают, что уязвимость возникла из-за ошибки в процессе аутентификации S3 протокола. Атака выполняется в три этапа:

1️⃣ Подделка AWS-заголовка — использование имени «crushadmin» для обмана сервера.
2️⃣ Создание поддельного cookie — подделка значения CrushAuth из 44 символов для обхода аутентификации.
3️⃣ Манипуляция параметром c2f — обход проверки пароля.

Таким образом, злоумышленник получает доступ к серверу без необходимости аутентификации!

Данные мониторинга Shadowserver показывают следующее распределение уязвимых серверов:

🌎 Северная Америка: 891 сервер
🌍 Европа: 490 серверов
🌏 Азия: 62 сервера
🌍 Океания: 45 серверов
🌍 Южная Америка и Африка: по 12 серверов

Эти данные показывают, что тысячи систем находятся под угрозой по всему миру.

Компания CrushFTP выпустила версии 11.3.1 и 10.8.4, в которых исправлена данная уязвимость. Обновления включают следующие меры безопасности:

✅ Ужесточение безопасности аутентификации S3.
✅ Добавлен параметр s3_auth_lookup_password_supported=false.
✅ Введены корректные проверки аутентификационного потока.

💡 Для обеспечения безопасности примите следующие меры:

🔹 Немедленно обновите CrushFTP до версии 11.3.1 или 10.8.4!
🔹 Если обновление невозможно сразу, включите функцию DMZ как временную меру защиты.
🔹 Проверьте серверные журналы, особенно GET-запросы к URL /WebInterface/function/.
🔹 Используйте бесплатный инструмент для сканирования:

CrushFTP уже сталкивался с серьезными уязвимостями, такими как CVE-2023-43177, через которые злоумышленники получали несанкционированный доступ к файлам и выполняли произвольный код. Такие уязвимости служат воротами для атакующих, чтобы проникнуть в корпоративные сети.

📢 Уязвимость CVE-2025-2825 представляет собой серьезную угрозу и активно используется преступниками.
⚠️ Если вы используете CrushFTP, не откладывайте обновление!
🚀 Обновите систему и укрепите безопасность сервера!

Эта уязвимость достаточно проста для эксплуатации, поэтому убедитесь, что ваши серверы не станут мишенью для киберпреступников! 🔐