A CrushFTP, uma popular solução empresarial para transferência de ficheiros, emitiu um aviso urgente sobre uma vulnerabilidade "zero-day" que está a ser ativamente explorada por agentes maliciosos. A falha, identificada como CVE-2025-54309, permite que os atacantes obtenham acesso de administrador aos servidores vulneráveis através da sua interface web, representando um risco crítico para as organizações que utilizam o software.
Como funciona o ataque?
O CrushFTP é um servidor utilizado por empresas para gerir e partilhar ficheiros de forma segura através de vários protocolos como FTP, SFTP e HTTP/S. Segundo a empresa, a exploração desta vulnerabilidade foi detetada pela primeira vez na manhã de 18 de julho, embora possa ter começado no dia anterior.
Aparentemente, os atacantes descobriram a falha após realizarem engenharia inversa a uma atualização de software anterior. Ben Spink, CEO da CrushFTP, explicou que uma correção para um problema diferente, relacionado com o protocolo AS2, tinha inadvertidamente bloqueado esta nova vulnerabilidade. Os hackers terão analisado essa alteração no código e encontrado uma nova forma de explorar o erro original em sistemas que não estavam atualizados.
A vulnerabilidade afeta todas as versões do CrushFTP anteriores à v10.8.5 e à v11.3.4_23, que foram lançadas por volta do dia 1 de julho. A empresa sublinha que os sistemas que foram mantidos atualizados com as versões mais recentes não estão em risco.
Estou em risco? Sinais de um sistema comprometido
Para os administradores de sistemas que temem ter sido comprometidos, a CrushFTP aconselha a restauração da configuração de utilizadores a partir de uma cópia de segurança (backup) com data anterior a 16 de julho. Existem vários indicadores de compromisso (IOCs) a que se deve estar atento:
Entradas inesperadas no ficheiro MainUsers/default/user.XML, especialmente modificações recentes.
Verificação do campo last_logins nesse mesmo ficheiro.
A criação de novos utilizadores com privilégios de administrador e nomes invulgares, como 7a0d26089ac528941bf8cb998d97f408m.
Spink refere que a modificação do utilizador "default" tem sido o principal sinal de ataque, muitas vezes alterado de formas inválidas que, ainda assim, permitiam o acesso ao atacante.
Medidas de proteção e recomendações oficiais
De acordo com o aviso oficial da CrushFTP, a principal medida de mitigação é a atualização imediata para as versões mais recentes do software. Adicionalmente, recomendam-se as seguintes práticas:
Rever os registos (logs) de uploads e downloads à procura de atividade suspeita.
Implementar listas de permissões de IP (IP whitelisting) para o acesso ao servidor e à área de administração.
Ativar as atualizações automáticas para garantir proteção contínua.
Utilizar uma instância DMZ (zona desmilitarizada) para isolar o servidor principal.
No entanto, a empresa de cibersegurança Rapid7 alerta que a utilização de uma DMZ pode não ser uma estratégia totalmente fiável para prevenir a exploração desta falha específica, aconselhando as empresas a não dependerem exclusivamente desta medida.
O panorama geral: um alvo valioso para hackers
Até ao momento, não é claro se os ataques foram utilizados para roubo de dados ou para a implementação de malware. Contudo, as soluções de transferência de ficheiros geridas tornaram-se alvos de elevado valor para campanhas de roubo de dados nos últimos anos.
Grupos de ransomware, como o notório Clop, têm explorado repetidamente falhas "zero-day" em plataformas semelhantes, incluindo Cleo, MOVEit Transfer, GoAnywhere MFT e Accellion FTA, para realizar ataques em massa de roubo e extorsão de dados. Este incidente com o CrushFTP reforça a necessidade crítica de manter os sistemas de software permanentemente atualizados.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech