Peligro inminente: exploit de día cero detectado en CrushFTP

CrushFTP ha revelado una nueva vulnerabilidad crítica, CVE-2025-54309, que actualmente se está explotando de forma activa. Un indicador de vulnerabilidad es el valor “last_logins” establecido para las cuentas internas predeterminadas.

¿Cuál es la amenaza?

CVE-2025-54309, con una puntuación CVSS de 9.0, permite a los atacantes explotar vulnerabilidades de usuarios que ejecuten versiones obsoletas de CrushFTP. Mediante ingeniería inversa de parches, los atacantes identifican vulnerabilidades previamente corregidas y atacan instancias sin parches.

Los indicadores de compromiso incluyen:

La falla se origina por una validación AS2 incorrecta cuando la función de proxy DMZ no está habilitada, lo que permite a los atacantes remotos obtener acceso administrativo a través de HTTPS. Según CrushFTP, la vulnerabilidad afectó a las compilaciones publicadas antes del 1 de julio y ha sido corregida en las últimas versiones. Si bien los sistemas con DMX frente a CrushFTP parecen no verse afectados, no se recomienda confiar únicamente en una DMZ como estrategia de mitigación.

¿Por qué es digno de mención?

Las organizaciones que ejecutan versiones de CrushFTP anteriores a la 10.8.5 y la 11.2.3_23 son las que corren mayor riesgo, independiente de la plataforma. Aún no se sabe con certeza si los atacantes están aprovechando esta vulnerabilidad para distribuir malware, extraer datos o cuántas organizaciones se han visto comprometidas. Sin embargo, según los últimos informes de Shadowserver, casi 1000 sistemas siguen siendo vulnerables.

¿Cuál es la exposición o riesgo?

Las organizaciones que ejecutan versiones de CrushFTP anteriores a la 10.8.5 y la 11.2.3_23 son las que corren mayor riesgo, independientemente de la plataforma. Aún no se sabe con certeza si los atacantes están aprovechando esta vulnerabilidad para distribuir malware, extraer datos o cuántas organizaciones se han visto comprometidas. Sin embargo, según los últimos de Shadowserver, casi 1000 sistemas siguen siendo vulnerables.

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

• Actualice todas las plataformas de CrushFTP a la versión actual (CrushFTP 11.2.3_26 y CrushFTP 10.8.5_12) lo antes posible.
• Restaure los datos de la cuenta del usuario afectada desde copias de seguridad anteriores o elimine el usuario predeterminado si no es posible restaurar las copias de seguridad.
• Establezca restricciones de IP para cuentas administrativas y configure el servidor para que solo acepte conexiones de direcciones IP aprobadas.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR