С начала апреля злоумышленники активно используют новую уязвимость в системе CrushFTP, позволяющую им обойти аутентификацию и получить полный контроль над сервером без ввода логина и пароля.
Проблема касается механизма HTTP-авторизации и была оценена в 9.8 баллов по шкале CVSS. С помощью этой уязвимости атакующие могут войти в систему под именем любого пользователя, например, «crushadmin».
В результате серверы, не получившие обновления, становятся лёгкой целью для киберпреступников.
Техническая сторона раскрытия проблемы также вызывает вопросы. Первоначально уязвимость была зарегистрирована с идентификатором CVE-2025-2825, однако позже MITRE присвоило ей новый номер — CVE-2025-31161. Этот сбой в процессах раскрытия информации привёл к конфликту между разработчиками и организациями, которые занимаются выдачей CVE-идентификаторов. Проблему усугубила публикация данных до завершения процесса тестирования, что вызвало недовольство у некоторых участников рынка.
Инструкции по эксплуатации уязвимости уже активно распространяются в сети. Атака основывается на генерации специальной сессии и подмене авторизационных заголовков, что позволяет атакующему войти под любым пользователем. Некоторые исследователи утверждают, что атаки могли начаться ещё в конце марта, а с 3 апреля уязвимость была активно использована для компрометации серверов в разных странах.
На данный момент известно, что не менее 815 серверов CrushFTP остаются уязвимыми. Из них 487 расположены в Северной Америке, а 250 — в Европе. В связи с риском массового взлома, Агентство по кибербезопасности США (CISA) обязало все федеральные органы страны установить обновления до конца апреля.
Проблема касается механизма HTTP-авторизации и была оценена в 9.8 баллов по шкале CVSS. С помощью этой уязвимости атакующие могут войти в систему под именем любого пользователя, например, «crushadmin».
В результате серверы, не получившие обновления, становятся лёгкой целью для киберпреступников.
Техническая сторона раскрытия проблемы также вызывает вопросы. Первоначально уязвимость была зарегистрирована с идентификатором CVE-2025-2825, однако позже MITRE присвоило ей новый номер — CVE-2025-31161. Этот сбой в процессах раскрытия информации привёл к конфликту между разработчиками и организациями, которые занимаются выдачей CVE-идентификаторов. Проблему усугубила публикация данных до завершения процесса тестирования, что вызвало недовольство у некоторых участников рынка.
Инструкции по эксплуатации уязвимости уже активно распространяются в сети. Атака основывается на генерации специальной сессии и подмене авторизационных заголовков, что позволяет атакующему войти под любым пользователем. Некоторые исследователи утверждают, что атаки могли начаться ещё в конце марта, а с 3 апреля уязвимость была активно использована для компрометации серверов в разных странах.
На данный момент известно, что не менее 815 серверов CrushFTP остаются уязвимыми. Из них 487 расположены в Северной Америке, а 250 — в Европе. В связи с риском массового взлома, Агентство по кибербезопасности США (CISA) обязало все федеральные органы страны установить обновления до конца апреля.
