サイバーセキュリティの専門家によると、少なくとも10,000件のCrushFTPインスタンスが重大な脆弱性の影響を受けており、現在攻撃者によって悪用されています。この脆弱性はファイル転送ソリューションに影響を与えています。
この脆弱性はCVE-2025-54309として追跡されており、CrushFTPサーバーのバージョン10.8.5未満および11.3.4_23未満のすべてのバージョンでAS2検証の不適切な処理が原因です。非武装地帯(DMZ)プロキシ機能が使用されていない場合に悪用される可能性があります。
この脆弱性が悪用されると、CVE-2025-54309によりリモートの攻撃者がHTTPS経由で管理者権限を取得できるようになります。
CVE-2025-54309の悪用が確認される
複数プロトコル・複数プラットフォーム対応のファイル転送サーバー「CrushFTP」の開発元であるCrushFTP, LLCは、7月18日にCVE-2025-54309を非公開のメーリングリストで公開し、その後、一般向けのベンダーアドバイザリでも公表しました。
MITREも7月18日にこの脆弱性を報告し、CVSSスコア9を割り当てました。
ファイル転送会社は、脅威アクターが7月18日午前9時(CST)からCVE-2025-54309を悪用しているのが確認されたと警告していますが、悪用キャンペーンはそれ以前から始まっていた可能性もあります。
ベンダーはまた、ソフトウェアが最新の状態であれば脆弱性の影響を受けないことを強調し、顧客に対してCrushFTPの修正版へ早急にアップデートするよう呼びかけています。最新の修正版はCrushFTP 11.3.4_26およびCrushFTP 10.8.5_12です。
さらにCrushFTPは「メインの前にDMZ CrushFTPを設置している場合、この問題の影響は受けないと考えています」と述べています。
しかし、7月18日のアドバイザリでRapid7は、自社の研究者はこの主張が正しいとは確信しておらず、DMZを緩和策として頼ることは推奨しないと述べています。
7月21日、Shadowserver Foundationは1040件の未修正のCrushFTPインスタンスを観測したと報告し、影響を受けている国の上位は米国、ドイツ、カナダであるとしています。
— The Shadowserver Foundation (@Shadowserver) 2025年7月21日
2025年にCrushFTPの脆弱性が実際に悪用されているのが確認されたのはこれが2回目であり、4月に重大な認証バイパス(CVE-2025-31161)の公開と悪用があったのに続くものです。
翻訳元: https://www.infosecurity-magazine.com/news/crushftp-critical-vulnerability/