A CrushFTP publicou um alerta sobre a exploração ativa da vulnerabilidade zero-day CVE-2025-54309, que permite acesso administrativo por meio da interface web de servidores não atualizados. O software é utilizado por empresas para transferência segura de arquivos via diversos protocolos, como FTP, SFTP e HTTP/S.
A falha começou a ser explorada em 18 de julho, embora a atividade possa ter iniciado mais cedo. Segundo a empresa, uma correção anterior voltada para outro problema acabou impedindo esse ataque de forma indireta, mas sem eliminar o risco completamente. Os invasores teriam analisado o código do software e encontrado uma forma de contornar a proteção.
As versões mais recentes do CrushFTP já incluem a correção. Usuários que mantiveram os patches em dia não foram afetados. O ataque só é possível em versões anteriores à 10.8.5 e 11.3.4_23. Clientes que utilizam instâncias DMZ isoladas não estão vulneráveis, segundo a fabricante, embora especialistas como a Rapid7 recomendem cautela quanto ao uso dessa estratégia de mitigação.
Para detectar possíveis compromissos, os administradores devem verificar alterações suspeitas no arquivo User.xml, criação de novos usuários administrativos e revisar logs em busca de atividades incomuns. A recomendação da CrushFTP é ativar atualizações automáticas, usar listas de IP autorizados e manter o sistema constantemente revisado.
fonte: CISO ADVISOR
