A CrushFTP, uma popular solução empresarial para transferência segura de ficheiros, emitiu um alerta crítico sobre uma vulnerabilidade de dia-zero que está a ser ativamente explorada por cibercriminosos. A falha, identificada como CVE-2025-54309, permite que um atacante obtenha acesso administrativo total a servidores vulneráveis através da sua interface web.
A empresa utiliza o seu software para gerir e partilhar ficheiros de forma segura através de múltiplos protocolos como FTP, SFTP e HTTP/S, sendo uma ferramenta central em muitas organizações.
O que aconteceu? Uma falha inadvertidamente exposta
Segundo a CrushFTP, a exploração ativa da vulnerabilidade foi detetada pela primeira vez no dia 18 de julho, por volta das 15:00 (hora de Portugal Continental), embora possa ter começado no dia anterior.
Curiosamente, a origem desta falha está ligada a uma correção anterior. O CEO da CrushFTP, Ben Spink, explicou que uma correção para um problema diferente, relacionado com o protocolo AS2, tinha bloqueado inadvertidamente esta nova vulnerabilidade. No entanto, os atacantes parecem ter analisado as alterações ao código da empresa.
A CrushFTP acredita que os cibercriminosos fizeram engenharia inversa ao software, descobriram o bug original (que estava presente em compilações anteriores a 1 de julho) e começaram a explorá-lo em todos os sistemas que não tinham as atualizações mais recentes instaladas. "Como sempre, recomendamos a aplicação de patches de forma regular e frequente. Qualquer pessoa que se manteve atualizada foi poupada desta exploração", reforça o comunicado da empresa.
O ataque afeta as versões anteriores à v10.8.5 e v11.3.4_23 do CrushFTP, lançadas por volta do início de julho.
Como saber se o seu servidor foi comprometido?
Os administradores de sistemas que suspeitem de uma possível intrusão devem procurar por indicadores de compromisso específicos. A recomendação é restaurar a configuração de utilizadores a partir de uma cópia de segurança anterior a 16 de julho. Os principais sinais de alerta incluem:
Entradas inesperadas no ficheiro
MainUsers/default/user.XML, especialmente modificações recentes.A criação de novos utilizadores com privilégios de administrador não reconhecidos, como por exemplo,
7a0d26089ac528941bf8cb998d97f408m.O principal indicador observado tem sido a modificação do utilizador "default", muitas vezes de formas inválidas que apenas o atacante consegue utilizar.
Medidas urgentes para mitigar o risco
A CrushFTP insiste que os sistemas mantidos atualizados não estão vulneráveis e recomenda a revisão dos registos de upload e download para detetar atividade invulgar. Para além da atualização imediata, as seguintes medidas são aconselhadas:
Restringir o acesso ao servidor e à interface de administração por IP (IP whitelisting).
Utilizar uma instância DMZ (zona desmilitarizada) para isolar o servidor principal.
Ativar as atualizações automáticas do software.
No entanto, a empresa de cibersegurança Rapid7 já veio alertar que confiar numa DMZ pode não ser uma estratégia totalmente fiável para impedir a exploração. "Por uma questão de abundância de cautela, a Rapid7 desaconselha confiar numa zona desmilitarizada como estratégia de mitigação", avisou a firma.
Uma tendência preocupante no roubo de dados
De momento, não é claro se os ataques estão a ser usados para roubo de dados ou para a implementação de malware. Contudo, as soluções de transferência de ficheiros empresariais tornaram-se alvos de elevado valor para campanhas de exfiltração de dados nos últimos anos.
Grupos de ransomware, como o notório Clop, têm explorado repetidamente vulnerabilidades de dia-zero em plataformas semelhantes, como o Cleo, MOVEit Transfer, GoAnywhere MFT e Accellion FTA, para realizar ataques massivos de roubo e extorsão de dados.
Nenhum comentário
Seja o primeiro!