7月18日,托管式文件传输方案商CrushFTP安全公告指出,已发现CrushFTP平台重大零时差漏洞遭攻击者利用,尽管未找到证据,但攻击行动可能发现前就开始了。
CrushFTP安全公告说,所有10.8.5和11.3.4_23以下版本CrushFTP,都会受零时差安全漏洞(编号CVE-2025-54309,源于AS2验证处理不当)影响。
攻击者正入侵未及时更新版本的用户,有持续更新的用户未受攻击影响,突显定期且频繁更新的重要性。只要服务器版本保持最新状态,或采DMZ隔离区实例隔离主服务器,也不会受攻击。
安全威胁监控平台Shadowserver扫描,约1,040个CrushFTP实例尚未修补CVE-2025-54309,因此有遭植入恶意软件,甚至数据窃取等的风险。
近年来,CrushFTP等托管式文件传输解决方案已成为勒索软件集团眼中的高价值目标。如Clop网络犯罪集团就多次攻击零时差漏洞窃取数据,对象有Accelion FTA、GoAnywhere MFT、MOVEit Transfer及Cleo等托管式文件传输平台。
2024年4月,CrushFTP也曾修补编号CVE-2024-4040零时差漏洞,因让未经验证攻击者突破用户虚拟文件系统(VFS)并下载系统文件。安全公司CrowdStrike发现,这类专门锁定采用CrushFTP方案之美国公司的攻击有搜集情报信息的倾向,背后极可能为政治动机。
不论如何,CrushFTP建议,除了定期频繁更新修补,不妨激活自动更新机制,随时检查上传与下载日志是否有异常,并以IP白名单管控服务器与访问管理界面,以降低零时差漏洞攻击的风险。
(首图来源:shutterstock)
