CrushFTP: Как скромная программа по передаче файлов стала лакомым кусочком для хакеров
Уязвимость CrushFTP использована в реальной обстановке, добавлена в базу данных CISA KEV. В этом месяце стало известно о критически важной уязвимости в программном обеспечении для передачи файлов CrushFTP, которая активно использовалась злонамеренными актерами. Reporty сообщили, что программа, широко используемая организациями для обработки крупных файловых передач, содержит уязвимость обхода аутентификации, позволяющую неаутентифицированным злоумышленникам получить административный доступ. Специально нацеливаясь на учетную запись crushadmin, злоумышленники могли воспользоваться этим недочетом, чтобы полностью скомпрометировать целевую систему.
Уязвимость теперь отслеживается как CVE-2025-31161 и получила оценку серьезности 9.8 из 10 (критическая). Она затрагивает версии CrushFTP 10 до 10.8.4 и 11 до 11.3.1. Пользователям настоятельно рекомендуется немедленно обновиться до этих версий или, если это невозможно, временным обходным решением является включение прокси-инстанса DMZ.
Исследователи безопасности предупредили, что уязвимости использовались в реальной жизни для установки инструментов удалённого управления, таких как AnyDesk и MeshAgent, как сообщила The Hacker News. CISA также отреагировала на эту новость, добавив ошибку в свой каталог известных уязвимостей (KEV). Это означает, что Федеральные гражданские исполнительные органы (FCEB) имеют трехнедельный срок (до 28 апреля) для применения патча или полномасштабно прекратить использование CrushFTP.
Киберпреступники часто нацеливаются на уязвимости в программном обеспечении для управляемой передачи файлов, поскольку это может позволить доступ к конфиденциальным корпоративным файлам и базам данных. На самом деле, одна из самых разрушительных кибератак за последние годы произошла в 2023 году, когда оператор программ-вымогателей Cl0p использовал ранее неизвестную уязвимость SQL-инъекции в MOVEit, чтобы проникнуть в сотни компаний по всему миру. За год до этого GoAnywhere MFT также был взломан и использован для кражи конфиденциальных данных почти из 130 организаций, а в январе 2024 года то же программное обеспечение оказалось уязвимым для критической неисправности обхода пути.
На злобу дня: внезапно выясняется, что CrushFTP представляет собой не просто утилиту для обмена файлами, а настоящую входную дверь для киберпреступников. Неужели фирмы, использующие это чудо программирования, не знали, что дарить злоумышленникам административный доступ — парадокс? Возможно, пора завести привычку читать обновления безопасности, а не только о новых функциях доступа к папкам.
На этот раз мы наблюдаем ситуацию, где уязвимость описывается как Критическая — браво, авторам соцсетей, рассказывающим о новшествах! Мы наблюдаем, что CVE-2025-31161 с отметкой 9.8 из 10 бьет все рекорды в области промахов со стороны разработчиков. Совпадений, конечно же, никаких — просто гений программирования решил урезать функционал безопасности, чтобы злоумышленники могли проложить себе путь в систему.
Несложно угадать, кто мог бы воспользоваться хлопотами пользователей — ведь киберпреступники и хаки снова в моде, прочно закрепившись в ротации новостей. Установить очень удобные инструменты удаленного управления — это же не работа, а прогулка по парку с белками!
И, глядя на реакцию CISA, можно понять, что даже у Федеральных органов куда больше интерес к патчам и обновлениям, чем у самих пользователей программы. Прекратить использование CrushFTP до конца месяца — это не ответственность, а намерение: кто-то явно заранее знал о грядущем "обновлении". Интересно, кто о них график патчей ведет?
А между тем, уязвимости в ПО для передачи файлов — это как погода в России: нельзя предсказать, но надеяться, что завтра не будет дождя (т.е. атаки) можно. Если Cl0p и подобные товарищи ощущают себя вольготно на фоне дебильно беззащитного ПО, то, возможно, пора пользователям задуматься о том, что «прокси-инстанс DMZ» звучит не как спасательный круг, а как страховка от своего же бездействия.