Μια σοβαρή ευπάθεια ασφαλείας στο δημοφιλές λογισμικό μεταφοράς αρχείων CrushFTP βρίσκεται πλέον υπό ενεργή εκμετάλλευση, με τους κυβερνοεγκληματίες να αξιοποιούν διαθέσιμο proof-of-concept κώδικα για να παρακάμψουν τη διαδικασία ελέγχου ταυτότητας και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση.
Τι είναι το CrushFTP και γιατί αποτελεί στόχο
Το CrushFTP είναι ένα cross-platform file transfer server που χρησιμοποιείται ευρέως σε εταιρικά περιβάλλοντα για την ασφαλή διαχείριση και μεταφορά αρχείων. Εξαιτίας της φύσης του – δηλαδή της επεξεργασίας ευαίσθητων αρχείων – αποτελεί δελεαστικό στόχο για επιτιθέμενους, ιδιαίτερα ομάδες ransomware που στοχεύουν υποδομές με υψηλό επιχειρηματικό αντίκτυπο.
Λεπτομέρειες για την ευπάθεια CVE-2025-2825
Η συγκεκριμένη ευπάθεια (CVE-2025-2825), που ανακαλύφθηκε και κοινοποιήθηκε από την Outpost24, επιτρέπει σε απομακρυσμένους επιτιθέμενους να παρακάμψουν την πιστοποίηση χρήστη και να αποκτήσουν πρόσβαση χωρίς έλεγχο ταυτότητας σε servers που τρέχουν CrushFTP v10 ή v11, εφόσον δεν έχουν εφαρμοστεί οι σχετικές ενημερώσεις ασφαλείας.
Η CrushFTP εξέδωσε προειδοποίηση στους πελάτες της στις 21 Μαρτίου 2025, τονίζοντας τον άμεσο κίνδυνο για όσους εκθέτουν HTTP(S) πόρτες χωρίς προστασία. Οι ενημερώσεις ασφαλείας διατίθενται για τις εκδόσεις 10.8.4 και άνω και 11.3.1 και άνω.
Προσωρινά μέτρα προστασίας
Για όσους διαχειριστές δεν μπορούν να εφαρμόσουν άμεσα το patch, συνιστάται η ενεργοποίηση της επιλογής DMZ (demilitarized zone), η οποία προσφέρει ένα επιπλέον επίπεδο απομόνωσης και προστασίας του server από εξωτερικές απειλές.
Η απειλή εξελίσσεται: Εντοπισμένες επιθέσεις στο διαδίκτυο
Η Shadowserver Foundation, ένας οργανισμός που παρακολουθεί απειλές στον κυβερνοχώρο, ανακοίνωσε στις 30 Μαρτίου 2025 ότι καταγράφηκαν δεκάδες απόπειρες εκμετάλλευσης της ευπάθειας σε servers που ήταν εκτεθειμένοι στο διαδίκτυο. Συγκεκριμένα, εντοπίστηκαν πάνω από 1.500 ευάλωτα instances, από τα οποία τα 1.512 παρέμεναν απροστάτευτα.
Η ταχύτητα με την οποία αναπτύχθηκε κώδικας PoC και άρχισαν οι επιθέσεις υπογραμμίζει τη σοβαρότητα της κατάστασης. Ο οργανισμός ProjectDiscovery δημοσίευσε πλήρη τεχνική ανάλυση και PoC μόλις λίγες ημέρες πριν ξεκινήσουν οι πρώτες επιθέσεις.
Ιστορικό και προηγούμενες ευπάθειες
Το CrushFTP δεν είναι άγνωστο σε ζητήματα ασφαλείας. Τον Απρίλιο του 2024, είχε εντοπιστεί και διορθωθεί ένα zero-day exploit (CVE-2024-4040) που επέτρεπε την πρόσβαση σε αρχεία συστήματος μέσω παράκαμψης του virtual file system. Η επίθεση φαινόταν να έχει κατασκοπευτικά κίνητρα και στόχευε οργανισμούς των ΗΠΑ.
Η CISA (Cybersecurity and Infrastructure Security Agency) των ΗΠΑ χαρακτήρισε το CVE-2024-4040 ως γνωστή και ενεργά εκμεταλλεύσιμη ευπάθεια, υποχρεώνοντας ομοσπονδιακούς οργανισμούς να επιδιορθώσουν τα συστήματά τους εντός επτά ημερών.
Επιπλέον, τον Νοέμβριο του 2023 είχε αποκαλυφθεί ακόμα μία κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (CVE-2023-43177) με πλήρες PoC που δόθηκε στη δημοσιότητα από την Converge Security.
Στόχος ransomware ομάδων
Τα file transfer software όπως το CrushFTP βρίσκονται διαρκώς στο στόχαστρο ransomware ομάδων, με πιο γνωστή την Clop, που έχει συνδέσει το όνομά της με επιθέσεις σε άλλα MFT προϊόντα όπως MOVEit Transfer, GoAnywhere MFT, Cleo, και Accelion FTA. Οι επιθέσεις συνήθως έχουν στόχο την κρυφή εξαγωγή δεδομένων (data exfiltration) και την επακόλουθη απαίτηση λύτρων.
Τι πρέπει να κάνουν οι διαχειριστές συστημάτων
- Άμεση ενημέρωση των συστημάτων CrushFTP στην τελευταία έκδοση που περιλαμβάνει τις επιδιορθώσεις.
- Επιθεώρηση των logs για πιθανές ενδείξεις παραβίασης.
- Ενεργοποίηση της DMZ έως ότου εφαρμοστεί το patch.
- Εφαρμογή πολιτικών network segmentation και zero trust.
- Διατήρηση backup εκτός δικτύου (offline) και δοκιμή ανάκτησης.
Η ταχύτητα αντίδρασης σε περιπτώσεις όπως αυτή του CVE-2025-2825 είναι καθοριστικής σημασίας για την αποτροπή επιτυχών επιθέσεων και την προστασία κρίσιμων επιχειρηματικών δεδομένων.
Πηγές: BleepingComputer, CyberSecurityNews
