Una falla de seguridad crítica recientemente revelada en Crushftp ha sido objeto de una explotación activa en la naturaleza. Asignado el identificador CVE CVE-2025-54309la vulnerabilidad lleva una puntuación CVSS de 9.0.
«CrushftP 10 antes de 10.8.5 y 11 antes de 11.3.4_23, cuando no se usa la función de proxy DMZ, maneita la validación de AS2 y, en consecuencia, permite a los atacantes remotos obtener acceso administrativo a través de HTTPS», según una descripción de la vulnerabilidad en la data de vulnerabilidad nacional de NIST (NVD).
Crushftp, en un aviso, dijo que primero detectó la explotación del día cero de la vulnerabilidad en la naturaleza el 18 de julio de 2025, las 9 a.m. CST, aunque reconoció que pudo haber sido armado mucho antes.
«El vector de ataque era HTTP (s) de cómo podían explotar el servidor», dijo la compañía. «Habíamos solucionado un problema diferente relacionado con AS2 en HTTP (s) que no nos dimos cuenta de que un error anterior podría usarse como este exploit. Los piratas informáticos aparentemente vieron nuestro cambio de código y descubrieron una forma de explotar el error anterior».
CrushFTP es ampliamente utilizado en entornos gubernamentales, de atención médica y empresariales para administrar transferencias de archivos sensibles, lo que hace que el acceso administrativo sea especialmente peligroso. Una instancia comprometida puede permitir a los atacantes exfiltrar datos, inyectar puertas traseras o pivotar en sistemas internos que dependen del servidor para un intercambio confiable. Sin aislamiento de DMZ, la instancia expuesta se convierte en un solo punto de falla.
La compañía dijo que los actores de amenaza desconocidos detrás de la actividad maliciosa lograron ingeniería inversa de su código fuente y descubrieron el nuevo defecto para dirigir dispositivos que aún no se han actualizado a las últimas versiones. Se cree que CVE-2025-54309 estaba presente en las construcciones de Crushftp antes del 1 de julio.
CrushFTP también ha lanzado los siguientes indicadores de compromiso (COI) –
- El usuario predeterminado tiene acceso de administrador
- IDS de usuario aleatorios creados (por ejemplo, 7A0D26089AC528941BF8CB998D97F408M)
- Otros nuevos nombres de usuario creados con acceso administrativo
- El archivo «mainusers/default/user.xml» se modificó recientemente y tiene un valor «last_logins» en él
- Los botones de la interfaz web del usuario final desaparecieron, y los usuarios previamente identificados como usuarios regulares ahora tienen un botón de administración
Los equipos de seguridad que investigan el posible compromiso deben revisar los tiempos de modificación de user.xml, correlacionar eventos de inicio de sesión de administración con IP públicas y cambios de permiso de auditoría en carpetas de alto valor. También es esencial buscar patrones sospechosos en registros de acceso vinculados a usuarios recién creados o escaladas de roles de administración inexplicables, que son signos típicos de comportamiento posterior a la explotación en escenarios de violación del mundo real.
Como mitigaciones, la compañía recomienda que los usuarios restauren un usuario predeterminado anterior desde la carpeta de copia de seguridad, así como revisen informes de carga/descarga para cualquier signo de transferencias sospechosas. Otros pasos incluyen –
- Limite las direcciones IP utilizadas para acciones administrativas
- IPS DESLISTIST IP que puede conectarse al servidor CrushFTP
- Cambiar a la instancia DMZ Crushftp para uso empresarial
- Asegúrese de que las actualizaciones automáticas estén habilitadas
En esta etapa, se desconoce la naturaleza exacta de los ataques que explotan el defecto. A principios de abril, otro defecto de seguridad en la misma solución (CVE-2025-31161, puntaje CVSS: 9.8) se armó para entregar el agente Meshcentral y otro malware.
El año pasado, también surgió que una segunda vulnerabilidad crítica que impacta a CrushFTP (CVE-2024-4040, puntaje CVSS: 9.8) fue aprovechado por los actores de amenaza para atacar múltiples entidades estadounidenses.
Con múltiples CVE de alta severidad explotados durante el año pasado, CLSFTFTP se ha convertido en un objetivo recurrente en las campañas de amenazas avanzadas. Las organizaciones deben considerar este patrón como parte de evaluaciones de exposición a amenazas más amplias, junto con cadencia de parche, riesgos de transferencia de archivos de terceros y flujos de trabajo de detección de día cero que involucran herramientas de acceso remoto y compromiso de credenciales.