یک آسیبپذیری بحرانی روز صفر در پلتفرم انتقال فایل CrushFTP کشف شده و از ۱۸ جولای ۲۰۲۵ ساعت ۰۹:۰۰ به وقت CST بهرهبرداری فعال از آن گزارش شده است. این آسیبپذیری با شناسه CVE-2025-54309، به مهاجمان غیرمجاز اجازه میدهد تا کنترل کامل ادمین را از طریق HTTPS بر سرورهای آسیبپذیر بهدست آورند.
جزئیات آسیبپذیری و بهرهبرداری
این نقص امنیتی به اشتباه در نسخههایی که حدوداً در ۱ جولای منتشر شدند، بهصورت ناخواسته رفع شده است. اما هزاران سازمان که بهروزرسانی نکردهاند، همچنان در معرض خطر قرار دارند.
مهندسان CrushFTP منشأ این رخنه را منطق ناقص اعتبارسنجی معرفی کردهاند که در جریان اصلاح یک باگ AS2، بهاشتباه در کد وارد شده بود. مهاجمان با بررسی تغییرات کد در جولای، موفق شدند درخواستهای مخرب HTTP(S) را از مسیر کنترلها دور بزنند.
در سناریویی که ویژگی DMZ Proxy فعال نیست، این اکسپلویت به مهاجم امکان میدهد دسترسی سطح ادمین یا اصطلاحاً “God-mode” بهدست آورد و کاربران جدید بسازد، دادهها را استخراج کند یا در شبکه داخلی حرکت جانبی انجام دهد.
شدت آسیبپذیری
شرکتهای امنیتی Rapid7 و Tenable این باگ را با امتیاز +۹.۰ در CVSS v3.1 رتبهبندی کردهاند؛ به دلیل:
-
اجرای از راه دور بدون کلیک (zero-click)
-
بُردار شبکهای
-
توانایی در بهدست آوردن کنترل کامل سیستم
📌 شبکه Shadowserver نیز گزارش داده که ظرف چند ساعت پس از افشای آسیبپذیری، موجهایی از اسکنهای خودکار برای بهرهبرداری آغاز شدهاند؛ مشابه آنچه در بهار ۲۰۲۵ با CVE-2025-31161 رخ داد.
نسخههای آسیبپذیر و ایمن
| شاخه محصول | نسخه امن یا جدیدتر | وضعیت پیش از وصله | توضیحات |
|---|---|---|---|
| CrushFTP 11 | ۱۱.۳.4_23 | نسخههای قبل از ۱۱.۳.4_23 | نسخهی سریعتر: ۱۱.۳.4_26 |
| CrushFTP 10 | ۱۰.۸.۵ | نسخههای قبل از ۱۰.۸.۵ | نسخهی وصلهشده: ۱۰.۸.5_12 در تاریخ ۱۸ جولای |
نصبهایی که از DMZ با پیکربندی صحیح استفاده میکنند ممکن است مسیر اکسپلویت را مسدود کنند، اما Rapid7 هشدار داده که نباید تنها به این معماری بهعنوان راهحل دائمی تکیه کرد.
نشانههای نفوذ (Indicators of Compromise)
ادمینها باید فوراً موارد زیر را بررسی کنند:
-
فایل
users/MainUsers/default/user.XML: وجود تگ غیرمنتظره<last_logins>یا تایماستمپهای مشکوک -
کاربران جدید با نامهای کاربری با الگوی پیچیده یا entropy بالا (مثل:
7a0d26089ac528941bf8cb998d97f408m) -
تغییر در رابط کاربری: حذف دکمهها یا ظاهر شدن ناگهانی دکمه “Admin”
-
الگوهای ترافیک خروجی غیرعادی که نشانه مرحلهبندی دادهها باشد
لاگها نشان میدهند که مهاجمان از اسکریپتهای قدیمی کمپینهای قبلی CrushFTP استفاده میکنند، با تمرکز بر ایجاد سریع کاربران و بارگیری گسترده فایلها یا اجرای shell از راه دور.
اقدامات فوری توصیهشده
-
بهروزرسانی فوری: به نسخههای ۱۱.۳.4_23 / ۱۰.۸.۵ یا بالاتر ارتقا دهید؛ قابلیت بروزرسانی خودکار را فعال کنید.
-
بازگردانی از نسخه پشتیبان: در صورت شک به نفوذ، کاربر پیشفرض را از بکاپی قبل از ۱۶ جولای بازیابی و کاربران مشکوک را حذف کنید.
-
بررسی گزارشهای انتقال فایل: بین ۱۶ تا ۱۸ جولای برای فعالیت مشکوک
-
سختسازی دسترسی: محدودسازی IPهای ادمین، اجباری کردن MFA و HTTPS، و استفاده از DMZ
-
نظارت مستمر: عضویت در هشدارهای امنیتی CrushFTP و CERT؛ استفاده از امضاهای IDS منتشرشده توسط Rapid7 و Tenable برای شناسایی ترافیک CVE-2025-54309
سابقه و هشدار آینده
این آسیبپذیری، سومین آسیبپذیری روز صفر بحرانی CrushFTP در ۱۵ ماه گذشته است، پس از:
-
CVE-2024-4040 (فرار از sandbox)
-
CVE-2025-31161 (دور زدن احراز هویت با race-condition در AWS4-HMAC)
📊 دادههای Shodan بیش از ۵۰۰۰ نمونه CrushFTP آنلاین را نشان میدهند؛ و در اوایل ۲۰۲۴، حداقل ۱۴۰۰ سرور بدون وصله باقی مانده بودند، حتی پس از هشدارهای حیاتی.
با توجه به احتمال انتشار عمومی اکسپلویت، تحلیلگران هشدار میدهند که ممکن است شاهد افزایش چشمگیر حملات خودکار در روزهای آتی باشیم.
اگرچه انتشار نسخه ۱۱.۳.4_26 تهدید فوری را کاهش میدهد، اما سازمانهایی که همچنان این ابزارها را بهعنوان «نصب و فراموشی» استفاده میکنند، بسیار آسیبپذیر باقی میمانند.
برای سازمانهایی که هنوز بهروزرسانی نکردهاند، بهترین فرض ممکن این است: نفوذ اتفاق افتاده؛ باید بازیابی از بکاپ انجام شده، اعتبارنامهها تغییر کند و برای پاسخ به حادثه آماده باشند.
یک نظر