Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Lỗ hổng nghiêm trọng ảnh hưởng đến hơn 1.000 máy chủ CrushFTP

13:57 | 23/07/2025
Hồng Đạt

Hơn 1.000 máy chủ CrushFTP trực tuyến hiện tại bị phát hiện dễ bị tấn công chiếm quyền điều khiển, bằng cách khai thác lỗ hổng bảo mật nghiêm trọng CVE-2025-54309, tin tặc cung cấp quyền truy cập quản trị vào giao diện web.

Nguyên nhân dẫn đến lỗ hổng này do xác thực AS2 bị xử lý không đúng cách, ảnh hưởng đến tất cả các phiên bản CrushFTP dưới 10.8.5 và 11.3.4_23. Nhà cung cấp đã gắn thẻ lỗ hổng này đang bị khai thác tích cực, lưu ý rằng các cuộc tấn công có thể đã bắt đầu sớm hơn, mặc dù vẫn chưa tìm thấy bằng chứng xác nhận điều này.

“Các tin tặc có thể đã thực hiện kỹ thuật dịch ngược và tìm thấy một số lỗi mà chúng tôi đã khắc phục trước đó. Chúng đang lợi dụng lỗ hổng này để khai thác đến các mục tiêu chưa cập nhật phiên bản mới. Như thường lệ, chúng tôi khuyến nghị khách hàng nên vá lỗi thường xuyên. Nếu đã cập nhật bản vá mới nhất của chúng tôi đều không bị ảnh hưởng bởi lỗ hổng CVE-2025-54309”,  thông báo mới đây của CrushFTP cho biết.

Bên cạnh đó, công ty chia sẻ các tổ chức nên xem lại log tải lên (upload) và tải xuống (download) để phát hiện hoạt động bất thường, cũng như bật tính năng cập nhật tự động và đưa IP vào danh sách trắng để truy cập máy chủ, nhằm giảm thiểu hơn nữa các nỗ lực khai thác.

Theo các bản báo báo từ nền tảng giám sát mối đe dọa bảo mật Shadowserver, hiện vẫn còn khoảng 1.040 phiên bản CrushFTP chưa được vá lỗ hổng CVE-2025-54309 và có nguy cơ bị tấn công.

Máy chủ CrushFTP chưa được vá

ShadowServer hiện đang thông báo cho khách hàng CrushFTP rằng máy chủ của họ không được bảo vệ trước lỗ hổng CVE-2025-54309 đang diễn ra, khiến thông tin của họ dễ bị đánh cắp dữ liệu.

Mặc dù vẫn chưa rõ liệu các cuộc tấn công đang diễn ra này có triển khai mã độc hay phần mềm đánh cắp dữ liệu hay không, các giải pháp truyền tệp được quản lý như CrushFTP đã trở thành mục tiêu có giá trị cao đối với các băng nhóm mã độc tống tiền trong những năm gần đây.

Ví dụ, riêng băng nhóm tin tặc Clop được ghi nhận liên quan đến nhiều chiến dịch đánh cắp dữ liệu nhắm vào các lỗ hổng zero-day trong các sản phẩm Accelion FTA, GoAnywhere MFT, MOVEit Transfer và gần đây nhất là phần mềm Cleo.

Một năm trước vào tháng 4/2024, CrushFTP cũng đã vá một lỗ hổng zero-day (CVE-2024-4040) đang bị khai thác, cho phép kẻ tấn công chưa xác thực thoát khỏi hệ thống VFS và tải xuống các tệp hệ thống.

Vào thời điểm đó, công ty an ninh mạng CrowdStrike (Mỹ) đã tìm thấy bằng chứng cho thấy các cuộc tấn công nhắm vào các phiên bản CrushFTP tại nhiều tổ chức của Mỹ, tập trung vào việc thu thập thông tin tình báo có khả năng mang động cơ chính trị.

Twitter Zalo Facebook YouTube Copy Link QR Code
LỖ HỔNG BẢO MẬT TẤN CÔNG MẠNG DỊCH NGƯỢC CVE-2025-54309 CHIẾM QUYỀN ĐIỀU KHIỂN CRUSHFTP KHAI THÁC TÍCH CỰC ĐÁNH CẮP DỮ LIỆU
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết