A CrushFTP a hétvégén figyelmeztetést adott ki, miszerint a hackerek egy zero-day sérülékenységet kihasználva adminisztrátori jogosultságot képesek szerezni a vállalat fájlátviteli szoftverének hibája miatt. A kritikus sérülékenység a CVE-2025-54309 azonosítón nyomon követhető, (CVSS értékelése 9.0) oka pedig az AS2 validáció helytelen kezelése, amennyiben nincs használatban DMZ proxy.
A CrushFTP szerint a biztonsági hiba a július 1. előtt kiadott verziókban van jelen. A vállalat korábban egy másik AS2-vel kapcsolatos hibát javított a HTTP(S) protokoll kezelésében, amely járulékos hatásként, véletlenül a mostani zero-day sérülékenységet is javította. Az eredeti frissítés ugyan nem ezt a rést célozta, de mellékhatásként lezárta a támadási lehetőséget, amelynek létezéséről a fejlesztők akkor még nem is tudtak.
A támadók azonban később visszafejtették a szoftver kódját és felfedezték, hogy a régebbi, nem frissített verziók továbbra is tartalmazzák a kihasználható hibát. Ezt követően megkezdték a sérülékeny rendszerek aktív támadását.
A CrushFTP július 18. reggelén észlelt először valós környezetben zajló támadásokat, de az aktív kihasználás valószínűleg már korábban megkezdődhetett. Az érintett verziók a 10-es ágon a 10.8.5 előtti kiadások, illetve a 11-es ágon a 11.3.4_23 előtti verziók. A javítások a 10.8.5_12 és a 11.3.4_26 verziókban kerültek be.
A támadás lezajlását a következő indikátorok jelzik: (IoC-k)
- „last_logins” nevű bejegyzések jelenléte az alapértelmezett felhasználó XML-fájljában
- a fájl módosított időbélyege
- az alapértelmezett felhasználó adminisztrátori jogosultsága
- hosszú véletlenszerű userID-k jelenléte
- új adminisztrátori jogosultságú felhasználónevek megjelenése
- hiányzó gombok a végfelhasználói webes felületen
- adminisztrátori gomb megjelenése a normál felhasználók számára
A vállalat azt is megfigyelte, hogy a támadók esetenként módosítják a szoftver verziószámát, hogy hamis biztonságérzetet keltsenek, ezért javasolják az MD5 hashek ellenőrzését az esetleges manipulációk felderítése érdekében. Ajánlott továbbá IP whitelist-et bevezetni az adminisztrátori fiókokhoz, szűrni a szerverhez csatlakozó IP címeket, DMZ-t használni és természetesen bekapcsolni az automatikus frissítést, hogy mindig a legfrissebb alkalmazásverzió legyen használatban.