Une vulnérabilité dans les anciennes versions de CrushFTP est activement exploitée. Seuls les utilisateurs ayant récemment effectué une mise à jour sont épargnés.
CrushFTP signale que des pirates exploitent une vulnérabilité zero day (CVE-2025-54309) sur la plateforme. CrushFTP est une solution commerciale de transfert de fichiers offrant une gestion web, une gestion des utilisateurs et des protocoles sécurisés.
Des attaques sont observées dans la nature depuis le 18 juillet. Il est possible que le bug ait été exploité plus tôt par des pirates, mais il n’existe pas de données à ce sujet. La vulnérabilité a été découverte dans les anciennes versions du logiciel et a été corrigée début juillet par un correctif.
Anciennes versions
L’attaque exploite une faille via HTTP(S). Selon CrushFTP, il s’agit d’un bug qui avait déjà été résolu, mais dont l’impact total n’était pas clair à l’époque. Les pirates ont analysé les récents changements de code et ont découvert un moyen d’exploiter cette ancienne faille pour lancer une attaque. Les clients ayant migré à temps vers une nouvelle version ont été protégés. Cela illustre à nouveau l’importance des mises à jour régulières.
Les versions suivantes sont vulnérables :
- Toutes les versions 10 antérieures à 10.8.5
- Toutes les versions 11 antérieures à 11.3.4_23
Les clients Enterprise utilisant une instance DMZ séparée de CrushFTP ne sont pas affectés. Le fabricant recommande de suivre strictement les pratiques standard de gestion des correctifs.
Récupération et protection
Les utilisateurs suspectant que leur serveur a été compromis peuvent restaurer l’utilisateur par défaut via le dossier de sauvegarde. Pour cela, une version précédemment sauvegardée du fichier user.XML doit être restaurée. Le fournisseur recommande de revenir à une sauvegarde antérieure au 16 juillet pour s’assurer qu’aucune modification malveillante n’a été effectuée.
lire aussi
Des hackers attaquent Microsoft SharePoint dans le monde entier via une faille zero day : appliquez le correctif maintenant
De plus, CrushFTP encourage les utilisateurs à vérifier les actions suspectes. Des identifiants d’utilisateurs inhabituels ou des modifications récentes du profil utilisateur par défaut peuvent indiquer une intrusion. Les pirates auraient également tenté de modifier la version du logiciel affichée pour éviter la détection.
Enfin, CrushFTP propose plusieurs mesures préventives : limiter l’accès IP, utiliser une configuration DMZ dans les environnements d’entreprise et activer les mises à jour automatiques. Les utilisateurs peuvent également s’inscrire aux notifications urgentes via le site d’assistance de l’entreprise.