CrushFTPは、攻撃者が脆弱なサーバーのウェブインターフェースを介して管理者アクセス権を取得できる、CVE-2025-54309として追跡されているゼロデイ脆弱性を、脅威者が積極的に悪用していると警告している。
CrushFTPは、組織がFTP、SFTP、HTTP/S、およびその他のプロトコルでファイルを安全に共有および管理するために使用されるエンタープライズファイル転送サーバーです。
CrushFTPによると、脅威者は7月18日午前9時(日本時間)に初めてこの脆弱性を悪用したことを検知したが、前日の早朝から始まっていた可能性もあるという。
CrushFTPの最高経営責任者(CEO)であるBen Spink氏は、HTTP(S)のAS2に関連する脆弱性を修正したことがあるが、その際にもこのゼロデイ欠陥をうっかりブロックしてしまったと語った。
「偶然にも以前の修正もこの脆弱性をブロックしていたが、以前の修正は別の問題をターゲットにしており、デフォルトではほとんど使用されない機能をオフにしていた」とSpink氏は語った。
CrushFTPは、脅威者が自社のソフトウェアをリバースエンジニアリングし、この新しいバグを発見し、最新のパッチを適用していないデバイス上で悪用し始めていたと考えていると述べている。
「このバグは、7月1日以前のビルドにあったと思われる…CrushFTPの最新バージョンは、すでにこの問題にパッチを当てている」とCrushFTPのアドバイザリは述べている。
「攻撃ベクターはHTTP(S)でした。私たちはHTTP(S)のAS2に関連する別の問題を修正したのですが、それ以前のバグが今回のエクスプロイトのように利用される可能性があることを知りませんでした。ハッカーたちはどうやら私たちのコード変更を見て、以前のバグを悪用する方法を考え出したようです。
「いつものように、私たちは定期的かつ頻繁にパッチを当てることを推奨します。最新の状態に保っていた人は、この悪用から免れることができた。
この攻撃は、CrushFTP v10.8.5およびCrushFTP v11.3.4_23より前のバージョンで、ソフトウェアのウェブインターフェースを介して発生する。これらのバージョンがいつリリースされたかは不明だが、CrushFTPによれば7月1日頃だという。
CrushFTPは、最新の状態に保たれているシステムには脆弱性はないと強調している。
メインサーバーを隔離するためにDMZ CrushFTPインスタンスを使用している企業顧客は、この脆弱性の影響を受けないと思われる。
システムが侵害されたと思われる管理者は、7月16日以前のバックアップからデフォルトのユーザー設定を復元することを推奨する。侵害の兆候は以下の通り:
- MainUsers/default/user.XMLに予期しないエントリ、特に最近の変更または
last_loginsフィールドがある。 - 7a0d26089ac528941bf8cb998d97f408mなどの新しい、認識できない管理者レベルのユーザー名。
Spink氏によると、メインIOCとして変更されたデフォルトユーザーを見るのが最も一般的だという。
「一般的に、デフォルト・ユーザーがメインのIOCとして変更されているのを見たことがある。一般的に、攻撃者にとってはまだ使用可能だが、他の誰にも使用できないような、非常に無効な方法で変更されている」とSpink氏は語った。
CrushFTPは、アップロードとダウンロードのログに異常なアクティビティがないか確認し、悪用を軽減するために以下の手順を踏むことを推奨する:
- サーバーと管理者アクセスのIPホワイトリスト化
- DMZインスタンスの使用
- 自動アップデートの有効化
しかし、サイバーセキュリティ企業のRapid7は、DMZの使用は悪用を防ぐための信頼できる戦略ではないかもしれないと述べている。
「慎重を期して、Rapid7は非武装地帯(DMZ)に依存しないことを推奨する」とRapid7は警告している。
現時点では、この攻撃がデータの窃盗に使われたのか、マルウェアの展開に使われたのかは不明である。しかし、マネージド・ファイル転送ソリューションは近年、データ窃盗キャンペーンの高額な標的となっている。
過去には、Cleo、MOVEit Transfer、GoAnywhere MFT、Accellion FTAなど、同様のプラットフォームのゼロデイ脆弱性を悪用したランサムウェア集団(通常はClop)が、大量のデータ窃盗や恐喝攻撃を繰り返している。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; /*object-fit: cover;*/ border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
CISOが実際に使用するボードレポートデッキ
CISOは、取締役会の賛同を得るには、クラウドセキュリティがどのようにビジネス価値を高めるかについて明確かつ戦略的な見解を示すことから始まることを知っています。
この無料で編集可能な取締役会用レポート・デッキは、セキュリティ・リーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティ・アップデートを有意義な会話に変え、役員会での意思決定を迅速化しましょう。
Comments