4 Settembre 2025 10:19    Alert

CrushFTP: sfruttamento attivo della vulnerabilità critica CVE-2025-54309. Attacco zero-day colpisce migliaia di istanze non aggiornate

Nelle ultime settimane è stata rilevata un’intensa attività di sfruttamento della vulnerabilità CVE-2025-54309, classificata come critica (CVSS 9.0/9.8), che affligge le versioni di CrushFTP precedenti alla 10.8.5 (ramo 10.x) e alla 11.3.4_23 (ramo 11.x). Il difetto interessa la validazione del protocollo AS2 tramite l’interfaccia web quando la funzionalità DMZ proxy non è abilitata: un attaccante remoto può quindi ottenere privilegi amministrativi tramite richieste HTTPS, compromettendo completamente il sistema bersaglio.

La vulnerabilità è stata osservata “in the wild” già dal 18 luglio 2025, con la pubblicazione immediata di una patch da parte del vendor. Almeno 1.000 istanze esposte su Internet risultano non aggiornate secondo rilevamenti Shadowserver, evidenziando un rischio concreto di furto di dati, ransomware e ulteriori compromissioni. È stato documentato il riutilizzo di script d’attacco già visti in precedenza su altre piattaforme MFT (MOVEit, Accellion FTA, GoAnywhere).

Tra gli indicatori di compromissione figurano:

  • account utente predefinito (“default”) con privilegi elevati o modificato di recente,

  • creazione sospetta di nuovi utenti amministrativi,

  • anomalie nei permessi sulle cartelle e la presenza di stringhe di login inusuali nei log di sistema.
     

CrushFTP è ampiamente usato in settori critici (governo, sanità, aziende), rendendo la vulnerabilità particolarmente pericolosa per il rischio di infiltrazione, esfiltrazione dati o attacchi pivot tramite la piattaforma.

Azioni consigliate:

  • Aggiornare immediatamente CrushFTP almeno alle versioni 10.8.5 o 11.3.4_23,

  • Ripristinare da backup account utente “default” precedenti al 16 luglio 2025,

  • Revisionare log di accesso/admin e controllare la presenza di nuovi utenti,

  • Limitare l’accesso amministrativo a IP noti; ove possibile configurare istanze DMZ proxy,

  • Attivare patching automatico e monitorare indicatori di compromissione.

La tempestiva applicazione della patch è giudicata essenziale, poiché l’esposizione all’exploit permane elevata in assenza di aggiornamenti.

Fonti: ACN, Rapid7, CERT-EU