Niebezpieczeństwo zagraża dziesiątkom firm!

Najnowsza luka bezpieczeństwa, oznaczona jako CVE-2025-54309, umożliwia hakerom przejęcie uprawnień administratora przez webowy interfejs serwera. Zbliża się weekend, który może przynieść poważne konsekwencje dla firm takich jak lubelski Herbapol, jeśli nie zostaną podjęte natychmiastowe kroki.

CrushFTP pod ostrzałem cyberprzestępców!

CrushFTP stosuje różnorodne protokoły, takie jak FTP, SFTP i HTTP/S, co sprawia, że jest niezwykle popularny w dużych organizacjach do zarządzania plikami. Nowa luka dotyczy wersji starszych niż CrushFTP v10.8.5 oraz v11.3.4_23, które zostały wydane około 1 lipca 2025 roku. Właściciele serwerów, którzy regularnie stosują aktualizacje, mogą być spokojni.

Jak doszło do odkrycia luki?

Luka została najprawdopodobniej zidentyfikowana przez cyberprzestępców po analizie kodu, w wyniku wprowadzenia wcześniejszej poprawki, która zlikwidowała całkiem inny problem. Niestety, niezamierzona zmiana uwolniła drogę dla atakujących, którzy znaleźli sposób na wykorzystanie wcześniejszej podatności.

Jak hakerzy przejmują kontrolę?

Atak na serwer odbywa się poprzez lukę w obsłudze żądań HTTP(S). Głównym sygnałem alarmowym są zmiany w plikach konfiguracyjnych (np. MainUsers/default/user.XML) oraz pojawienie się nowych, nieznanych kont administracyjnych. Często zmienia się domyślny użytkownik w sposób, który sprawia, że dla reszty użytkowników, jego obecność jest praktycznie niewidoczna.

Jak się bronić?

Administratorzy powinni jak najszybciej przywrócić plik konfiguracyjny z backupu sprzed 16 lipca oraz dokładnie przejrzeć logi w poszukiwaniu nietypowej aktywności. CrushFTP zaleca również wprowadzenie białej listy adresów IP dotyczących dostępu administracyjnego oraz użycie DMZ do separacji serwera głównego.

Nie powtarzajmy błędów z przeszłości!

Ataki na systemy transferu plików nie są niczym nowym – przestępcy w przeszłości wykorzystywali podobne luki w takich systemach jak MOVEit, GoAnywhere MFT czy Accellion FTA, aby kraść dane i żądać okupu. W obliczu fali incydentów w 2025 roku, przestrzeganie zasad cyberhigieny i szybkie aktualizowanie kluczowych systemów staje się ważniejsze niż kiedykolwiek wcześniej.