CrushFTPのゼロデイ脆弱性が悪用され、サーバーへの管理者アクセスが取得される

CrushFTPは、CVE-2025-54309として追跡されているゼロデイ脆弱性が脅威アクターによって積極的に悪用されており、攻撃者が脆弱なサーバーのWebインターフェース経由で管理者アクセスを取得できると警告しています。

CrushFTPは、組織がFTP、SFTP、HTTP/Sなどのプロトコルを通じて安全にファイルを共有・管理するために使用されるエンタープライズ向けファイル転送サーバーです。

CrushFTPによると、脅威アクターがこの脆弱性を悪用しているのが最初に検出されたのは7月18日午前9時（CST）ですが、前日の早朝から始まっていた可能性もあります。

CrushFTPのCEOであるBen Spink氏はBleepingComputerに対し、以前にHTTP(S)のAS2に関連する脆弱性を修正した際、偶然にもこのゼロデイ脆弱性もブロックされていたと語りました。

「以前の修正が偶然にもこの脆弱性もブロックしていましたが、その修正は別の問題を対象としており、デフォルトであまり使われていない機能をオフにしていました」とSpink氏はBleepingComputerに語りました。

CrushFTPは、脅威アクターが同社のソフトウェアをリバースエンジニアリングし、この新たなバグを発見、パッチが適用されていないデバイスで悪用を開始したと考えています。

「このバグはおおよそ7月1日以前のビルドに存在していたと考えています…CrushFTPの最新バージョンではすでに修正済みです」とCrushFTPのアドバイザリには記載されています。

「攻撃経路はHTTP(S)で、これを使ってサーバーを悪用できました。私たちはAS2に関連する別のHTTP(S)の問題を修正していましたが、その以前のバグがこのエクスプロイトのように使われるとは気づいていませんでした。ハッカーは私たちのコード変更を見て、以前のバグを悪用する方法を見つけたようです。

「常に、定期的かつ頻繁なパッチ適用を推奨します。最新の状態を維持していた方はこのエクスプロイトの被害を免れました。」

この攻撃は、CrushFTP v10.8.5およびCrushFTP v11.3.4_23より前のバージョンのソフトウェアのWebインターフェース経由で発生します。これらのバージョンがいつリリースされたかは不明ですが、CrushFTPによれば7月1日頃とのことです。

CrushFTPは、最新の状態に保たれているシステムは脆弱ではないと強調しています。

DMZ CrushFTPインスタンスを使用してメインサーバーを隔離しているエンタープライズ顧客は、この脆弱性の影響を受けていないと考えられています。

自分のシステムが侵害されたと考える管理者は、7月16日以前の日付のバックアップからデフォルトのユーザー設定を復元することが推奨されています。侵害の兆候は以下の通りです：

Spink氏によると、主なIOC（侵害の指標）として最も多く見られるのはデフォルトユーザーの変更だといいます。

「一般的に、デフォルトユーザーが主なIOCとして変更されているのを確認しています。一般的に、攻撃者には利用可能だが他の誰にも使えないような非常に無効な方法で変更されています」とSpink氏はBleepingComputerに語りました。

CrushFTPは、アップロードおよびダウンロードログに異常な活動がないか確認し、以下の対策を講じることを推奨しています：

しかし、サイバーセキュリティ企業Rapid7は、DMZの使用が悪用防止のための信頼できる戦略とは限らないと述べています。

「慎重を期すため、Rapid7は緩和策として非武装地帯（DMZ）に依存しないことを推奨します」とRapid7は警告しています。

現時点では、攻撃がデータ窃取やマルウェアの展開に使われたかどうかは不明です。しかし、近年マネージドファイル転送ソリューションはデータ窃取キャンペーンの高価値ターゲットとなっています。

過去には、主にClopによるランサムウェアグループが、Cleo、MOVEit Transfer、GoAnywhere MFT、Accellion FTAなどの類似プラットフォームのゼロデイ脆弱性を繰り返し悪用し、大規模なデータ窃取および恐喝攻撃を行ってきました。

クラウド検知＆レスポンス入門

新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を未然に防ぎます。

この実践的かつ分かりやすいガイドで、クラウド検知とレスポンス（CDR）がセキュリティチームにどのような優位性をもたらすかを学びましょう。