Уязвимость CrushFTP используется в дикой природе, добавлена в базу данных CISA KEV

В файлообменном инструменте CrushFTP была обнаружена критическая ошибка, о которой сообщается, что она использовалась злоумышленниками.

Агентство кибербезопасности и инфраструктуры (CISA) добавило ошибку в свой каталог известных уязвимостей (KEV).

Критическая ошибка с высоким уровнем опасности affects программное обеспечение для передачи файлов CrushFTP, которое активно использовалось злоумышленниками. Ранее в этом месяце сообщалось, что программное обеспечение, которое обычно используется организациями для обработки крупных файловых передач, содержало уязвимость обхода аутентификации, которая позволяла неавторизованным злоумышленникам получить права администратора.

Цель атак - учетная запись crushadmin, которую злоумышленники могли использовать для полного компрометирования целевой системы.

Ошибка сейчас отслеживается как CVE-2025-31161 и получила оценку серьезности 9,8 из 10 (критическая). Она затрагивает версии CrushFTP 10 до 10.8.4 и 11 до 11.3.1. Пользователям настоятельно рекомендуется немедленно обновить до этих версий, а если это невозможно, в качестве временного решения можно включить экземпляр прокси-сервера DMZ.

Исследователи безопасности предупредили, что ошибки использовались для установки инструментов удаленного управления, таких как AnyDesk и MeshAgent. CISA также обратило внимание на эту новость, добавив ошибку в свой Каталог известных уязвимостей (KEV). Это означает, что учреждения Федерального гражданского исполнительного филиала (FCEB) имеют трехнедельный срок (до 28 апреля), чтобы применить исправление или прекратить использование CrushFTP.

Злоумышленники часто нацеливаются на уязвимости программного обеспечения для передачи файлов с управлением, поскольку они могут позволить получить доступ к конфиденциальным корпоративным файлам и базам данных. Фактически, одна из самых разрушительных кибератак в недавней истории произошла в 2023 году, когда оператор ransomware Cl0p использовал неизвестную ранее уязвимость SQL-инъекции в программном обеспечении для передачи файлов MOVEit, чтобы взломать сотни корпораций по всему миру.

Год назад было взломано программное обеспечение GoAnywhere MFT и использовалось для кражи конфиденциальных данных почти из 130 организаций. В январе 2024 года в том же программном обеспечении была обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к файлам.