現在オンラインに公開されている1,000台以上のCrushFTPインスタンスが、重大なセキュリティバグを悪用した乗っ取り攻撃に対して脆弱であり、ウェブインターフェースへの管理者アクセスを許してしまいます。
このセキュリティ脆弱性(CVE-2025-54309)はAS2検証の不適切な処理によるもので、CrushFTPのバージョン10.8.5および11.3.4_23未満のすべてのバージョンに影響します。ベンダーはこの脆弱性が実際に悪用されていると7月19日に発表し、攻撃はそれ以前から始まっていた可能性があるものの、現時点ではそれを裏付ける証拠は見つかっていないとしています。
「7月18日午前9時(CST)、実際に悪用されているゼロデイ脆弱性が確認されました。おそらくそれ以前から続いていた可能性もありますが、私たちが確認したのはその時でした。ハッカーはどうやら私たちのコードをリバースエンジニアリングし、すでに修正済みのバグを発見したようです」とCrushFTPのアドバイザリには記載されています。
「最新バージョンにアップデートしていないユーザーが標的となっています。常に定期的かつ頻繁なパッチ適用を推奨します。アップデートを怠っていなかった方はこの脆弱性の影響を受けていません。」
しかしCrushFTPは先週、最新の状態に保たれているサーバーは攻撃の影響を受けないと付け加え、メインサーバーを隔離するためにDMZ(非武装地帯)インスタンスを使用している顧客もこの脆弱性の影響を受けないと述べています。
同社はまた、不審な活動がないかアップロードおよびダウンロードのログを確認し、自動アップデートの有効化や、サーバーおよび管理者アクセス用のIPホワイトリスト設定を行うことで、さらなる悪用の試みを軽減できると推奨しています。
セキュリティ脅威監視プラットフォームShadowserverのスキャンによると、約1,040台のCrushFTPインスタンスがCVE-2025-54309に対して未修正のままであり、攻撃に対して脆弱な状態です。
ShadowServerは現在、CrushFTPの顧客に通知を行い、彼らのサーバーがCVE-2025-54309の継続的な悪用に対して無防備であり、データ窃取の試みにさらされていることを伝えています。
これらの継続的な攻撃でマルウェアが展開されているのか、あるいはデータ窃取に使われているのかは不明ですが、CrushFTPのようなマネージドファイル転送ソリューションは、近年ランサムウェア集団の高価値ターゲットとなっています。
例えば、Clopサイバー犯罪集団は、ゼロデイ脆弱性を狙った複数のデータ窃取キャンペーンに関与しており、Accelion FTA、GoAnywhere MFT、MOVEit Transfer、そして最近ではCleoソフトウェアが標的となっています。
1年前の2024年4月にも、CrushFTPは実際に悪用されていたゼロデイ脆弱性(CVE-2024-4040)を修正しました。この脆弱性により、認証されていない攻撃者がユーザーの仮想ファイルシステム(VFS)から脱出し、システムファイルをダウンロードすることが可能でした。
当時、サイバーセキュリティ企業CrowdStrikeは証拠を発見し、米国内の複数組織のCrushFTPインスタンスを標的とした攻撃は情報収集を目的としており、政治的動機によるものである可能性が高いとしています。
クラウド検知&レスポンス入門
新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を未然に防ぎましょう。
この実践的かつ分かりやすいガイドで、クラウド検知とレスポンス(CDR)がセキュリティチームにどのような優位性をもたらすか学べます。