Окно в админку: критическая уязвимость в CrushFTP уже в деле — хакеры заходят как к себе домой
В популярном решении для защищенного обмена файлами CrushFTP обнаружена и активно эксплуатируется критическая уязвимость — CVE-2025-54309 с баллом 9.0 по CVSS. Дырка позволяет злоумышленникам получить админ-доступ к серверу через HTTPS, даже без использования DMZ-прокси. То есть, если у вас настроен CrushFTP «напрямую», вы потенциально уже в зоне поражения.
Как пояснили сами разработчики, баг касается механизма AS2 в HTTP(S), и, что особенно показательно, — хакеры нашли способ его эксплуатации, заметив патч к другому уязвимому участку кода. В результате — классическая история: одно залатали, другое открыли. Учитывая, что CrushFTP используется в госсекторе, здравоохранении и крупных компаниях, последствия могут быть серьезными.
Атаки были замечены 18 июля, но эксперты не исключают, что уязвимость использовалась и раньше. Следы взлома включают появление новых админ-пользователей с длинными случайными ID, модификацию файла user.xml, пропажу кнопок в интерфейсе обычных пользователей и неожиданное появление прав администратора.
Разработчики советуют:
- откатить default-пользователя из бэкапа;
- ограничить IP-адреса для админ-доступа;
- включить автообновления;
- перевести сервер в DMZ-режим;
- проанализировать логи входа и действий новых пользователей.
К слову, это уже не первый критический баг в CrushFTP за последние месяцы. В апреле через другую уязвимость (CVE-2025-31161) распространяли вредоносный агент MeshCentral. А ещё раньше была эксплуатирована CVE-2024-4040. Если вы используете CrushFTP — обновляйтесь немедленно. Иначе админ-доступ к вашему серверу может получить кто угодно.
Теги:
похожие материалы
В новогодние праздники киберпреступники усилили атаки на ключевые отрасли России
Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, зафиксировала резкое увеличение доли высококритичных кибератак в период в период новогодних праздников.
«Лаборатория Касперского» расскажет школьникам на «Уроке цифры» про кибербезопасность в космосе
В этом учебном году «Урок цифры» от «Лаборатории Касперского» пройдёт в российских школах с 19 января по 8 февраля 2026 года.
УЦСБ и «Атомик Софт» внедрили DevSecOps в «Альфа платформу»
Центр кибербезопасности ИТ-компании УЦСБ совместно с командой «Атомик Софт» интегрировали практики безопасной разработки в процесс создания «Альфа платформы» – программного комплекса, предназначенного для построения систем управления технологическими процессами (HMI, SCADA и других решений).
Роскомнадзор выявил нарушения у 33 операторов связи при установке средств фильтрации трафика
Роскомнадзор в ходе плановых проверок обнаружил у 33 российских операторов связи нарушения правил установки и эксплуатации технических средств противодействия угрозам (ТСПУ), которые используются для фильтрации интернет-трафика, блокировки запрещённого контента и защиты инфраструктуры.
Кибергруппа Everest заявила о краже 900 ГБ данных у Nissan
Кибергруппа, связанная с вымогательским ПО Everest, сообщила о предполагаемом взломе информационных систем японского автопроизводителя Nissan и хищении около 900 ГБ данных.
Найдена серия опасных багов в ядре Linux, влияющих на память, сеть и изоляцию процессов
Исследователи опубликовали подробный разбор группы ошибок в ядре Linux, связанных с некорректной работой с памятью и состояниями объектов ядра.
Найдена критическая уязвимость в библиотеке zlib, приводящая к DoS и возможному исполнению кода
В широко используемой библиотеке сжатия данных zlib обнаружена серьёзная уязвимость переполнения глобального буфера, которая может привести к сбою программ (DoS) и в определённых условиях - к удалённому выполнению произвольного кода.
ИИ учится мыслить без данных
Исследователи представили новый подход в области искусственного интеллекта под названием Absolute Zero Reasoner (AZR) - систему, способную самостоятельно развивать навыки рассуждения без использования внешних обучающих данных.
Критическая уязвимость Ni8mare угрожает тысячам серверов n8n
Исследователи кибербезопасности выявили критическую уязвимость в популярной платформе автоматизации рабочих процессов n8n, получившую обозначение Ni8mare и присвоенный идентификатор CVE-2026-21858.
X вскоре опубликует исходный код нового алгоритма рекомендаций
Илон Маск объявил, что социальная сеть X* в течение семи дней откроет для публики исходный код своего нового алгоритма, который отвечает за рекомендации как органических, так и рекламных постов пользователям платформы.