Podle nové bezpečnostní zprávy společnosti CrushFTP zůstává v provozu přibližně 1 000 serverů, které běží na starších verzích nástroje a jsou vystaveny riziku závažného vzdáleného útoku. Kritická zranitelnost se týká všech verzí 10 pod 10.8.5 a verzí 11 pod 11.3.4_23, přičemž ohroženy jsou systémy, které nepoužívají DMZ proxy.

Útočníci dokázali chybu zneužít prostřednictvím HTTPS požadavků – stačilo k tomu obejít validaci AS2 (EDI protokol), což následně umožnilo získat plný administrátorský přístup.

Zranitelnost CVE-2025-54309: Téměř maximální závažnost

Chyba byla označena jako CVE-2025-54309 a hodnocena skóre 9.0 z 10, což potvrzuje její kritický charakter. Problém byl původně opraven začátkem července 2025, ale 18. července vývojáři CrushFTP odhalili, že exploit je již aktivně využíván útočníky jako zero-day – tedy bez předchozího varování, zatímco zranitelnost ještě nebyla veřejně známá.

To znamená, že útoky mohly začít ještě před zveřejněním opravy, což zvyšuje riziko, že některé organizace už byly kompromitovány.

Zdroj: Shutterstock

Útoky jsou tiché – nevíme, co přesně útočníci dělají

CrushFTP zatím nepotvrdil žádný konkrétní scénář zneužití – neví se, zda útočníci instalují malware, kradou data nebo jen budují přístupové body pro pozdější zneužití. Víme ale, že uživatelé, kteří aktualizovali na nejnovější verze, jsou v bezpečí.

Pro ty, kteří už byli napadeni, vývojáři doporučují obnovit výchozího uživatele ze složky záloh (backup folder) a zvážit audit systému.

DMZ proxy jako ochranný štít

Enterprise zákazníci, kteří používají DMZ proxy před hlavním serverem CrushFTP, nejsou touto chybou postiženi. Proxy totiž efektivně odděluje veřejný provoz od vnitřní infrastruktury, čímž brání přímému přístupu přes HTTPS na backend, kde se chyba nachází.

I tak ale platí, že pouze pravidelné aktualizace jsou trvalým řešením. Vývojáři z CrushFTP výslovně upozorňují, že:

„Kdokoliv, kdo zůstal na aktuální verzi, byl před tímto exploitem ochráněn.“

Co udělat hned teď

1. Zkontrolujte aktuální verzi svého CrushFTP - Pokud je nižší než 10.8.5 (v10) nebo 11.3.4_23 (v11), jste ohroženi.
2. Okamžitě aktualizujte na nejnovější build.
3. Pokud nevyužíváte DMZ proxy, zvažte její implementaci nebo alespoň posílení firewallu.
4. Proveďte audit a obnovte výchozí uživatelské účty ze záloh, pokud máte podezření na kompromitaci.
5. Sledujte další aktualizace od výrobce a zálohujte systém před každou změnou.

CrushFTP je robustní a oblíbený nástroj pro přenos citlivých dat – o to větší pozornost si zaslouží každá bezpečnostní slabina. Tentokrát šlo o závažnou chybu, kterou útočníci aktivně zneužívali ještě před zveřejněním. Pokud spravujete některý z dotčených systémů, nečekejte – patchujte a proveďte forenzní kontrolu.