Hackers exploram o CrushFTP Zero-Day para assumir o controle de servidores
O WatchTowr Labs descobriu um exploit de dia zero (CVE-2025-54309) no CrushFTP. A vulnerabilidade permite que hackers obtenham acesso de administrador pela interface web. Atualize para a versão 10.8.5 ou 11.3.4.
Uma vulnerabilidade de dia zero no CrushFTP, um servidor de transferência de arquivos amplamente utilizado, está sendo explorada ativamente por hackers. A empresa de segurança cibernética watchTowr Labs descobriu a exploração ativa dessa falha, registrada como CVE-2025-54309 . A vulnerabilidade foi adicionada ao Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA em 22 de julho de 2025, confirmando seu status crítico.
A investigação do watchTowr Labs revelou uma ameaça crítica a mais de 30.000 instâncias online do software. Em seu comunicado oficial, o CrushFTP confirmou que a vulnerabilidade já havia sido explorada em 18 de julho de 2025.
A empresa observou que as versões mais recentes do software já haviam corrigido o problema. Os hackers provavelmente descobriram como explorar o bug depois que a empresa fez uma alteração recente no código para corrigir um problema diferente, revelando acidentalmente a vulnerabilidade aos invasores.
Acreditamos que esse bug já existia em versões anteriores a 1º de julho, aproximadamente... as versões mais recentes do CrushFTP já corrigiram o problema. O vetor de ataque foi o HTTP(S), que explorava o servidor. Corrigimos um problema diferente relacionado ao AS2 no HTTP(S), sem perceber que um bug anterior poderia ser usado como esse exploit. Aparentemente, hackers perceberam a mudança no nosso código e descobriram uma maneira de explorar o bug anterior. Declaração do CrushFTP.
O watchTowr Labs utilizou sua rede honeypot proprietária, chamada Attacker Eye, para capturar o ataque no momento em que ele acontecia. A equipe implantou um sensor específico para o CrushFTP e recebeu um alerta imediato quando o sensor foi violado.
A análise do tráfego bruto da rede revelou um padrão distinto: duas solicitações HTTP semelhantes estavam sendo enviadas em rápida sucessão, repetidas mais de 1.000 vezes. A principal diferença entre as duas solicitações estava nos seus cabeçalhos.
A primeira solicitação continha um cabeçalho que apontava para o usuário administrativo interno crushadmin, enquanto a segunda, não. Esse comportamento indicava uma condição de corrida , que ocorre quando duas tarefas competem por recursos, e o resultado depende de qual delas termina primeiro.
Nesse caso, as duas solicitações estavam correndo para serem processadas. Se as solicitações chegassem em uma ordem muito específica, a segunda solicitação conseguia se aproveitar da primeira, executando como o usuário crushadmin sem a devida autenticação (pois o servidor considerava o invasor um administrador).
A partir daí, o jogo acaba, pois o hacker pode ignorar a autenticação e assumir o controle total do servidor, recuperar arquivos confidenciais e causar danos significativos.
O ataque ocorre especificamente por meio da interface web do software em versões anteriores ao CrushFTP v10.8.5 e ao CrushFTP v11.3.4_23. Observe que clientes corporativos que utilizam uma instância do CrushFTP na DMZ para isolar seu servidor principal não devem ser afetados.
Para confirmar suas descobertas, o watchTowr Labs criou seu próprio script para replicar o ataque e criou com sucesso uma nova conta de administrador em uma instância vulnerável.
Segundo pesquisadores, os desenvolvedores do CrushFTP corrigiram esse problema silenciosamente em atualizações recentes, sem avisar publicamente os usuários, deixando muitos em risco. Considerando que essa vulnerabilidade está sendo explorada ativamente, é fundamental proteger seu sistema atualizando o software para as versões mais recentes imediatamente.
HackRead
