WatchTowr实验室发现CrushFTP中存在一个零日漏洞(CVE-2025-54309)。该漏洞可让黑客通过Web界面获取管理员权限。请更新至v10.8.5或v11.3.4。

广泛使用的文件传输服务器CrushFTP中存在一个零日漏洞，正被黑客积极利用。网络安全公司watchTowr Labs发现了该漏洞的活跃利用案例，其编号为CVE-2025-54309。该漏洞于2025年7月22日被添加到CISA已知被利用漏洞目录中，确认其严重级别。

watchTowr Labs的调查显示，该软件超过3万个在线实例面临严重威胁。CrushFTP在其官方声明中确认，该漏洞早在2025年7月18日就已被广泛利用。

该公司指出，最新版本的软件已经修复了这个问题。黑客很可能是在该公司最近修改代码以修复其他问题后，才找到了利用该漏洞的方法，从而意外地将漏洞暴露给了攻击者。

“我们认为这个漏洞存在于7月1日之前的版本中，大致…… CrushFTP的最新版本已经修复了这个问题。攻击向量是HTTP(S)，他们可以利用HTTP(S)来利用服务器。我们修复了HTTP(S)中与AS2相关的另一个问题，但没有意识到之前的漏洞可以像这个漏洞一样被利用。黑客显然看到了我们代码的变化，并找到了利用之前漏洞的方法。” CrushFTP的声明。

watchTowr Labs使用其专有的蜜罐网络“攻击者之眼”实时捕捉攻击过程。该团队为CrushFTP部署了一个专用传感器，并在传感器被攻破时立即收到警报。

对原始网络流量的分析揭示了一个独特的模式：两个相似的HTTP请求被快速连续地发送，重复次数超过1000次。这两个请求之间的关键区别在于它们的标头。

第一个请求包含指向内部管理用户crushadmin的标头，而第二个请求则没有。此行为暗示存在竞争条件，即两个任务竞争资源时发生的情况，其结果取决于哪个任务先完成。

在这种情况下，两个请求正在争相处理。如果请求到达的顺序非常特殊，则第二个请求可以利用第一个请求，以crushadmin用户身份执行，而无需进行适当的身份验证（因为服务器会认为攻击者是管理员）。

从那时起，游戏实际上就结束了，因为黑客可以绕过身份验证，然后完全控制服务器，检索敏感文件，并造成重大损害。

此次攻击主要通过CrushFTP v10.8.5和CrushFTP v11.3.4_23之前版本的软件网页界面进行。请注意，使用DMZ CrushFTP实例隔离主服务器的企业用户不受影响。

为了证实他们的发现，watchTowr Labs创建了自己的脚本来复制攻击，并成功地在易受攻击的实例上创建了一个新的管理员帐户。

据研究人员称，CrushFTP的开发人员在最近的更新中悄悄修复了此问题，并未公开警告用户，导致许多用户面临风险。鉴于此漏洞正被积极利用，立即将软件更新到最新的补丁版本，保护您的系统安全至关重要。