CrushFTP’deki Sıfır Gün Açığı Tehlikesi
Son dönemde, CrushFTP, siber suçluların CVE-2025-54309 olarak izlenen bir sıfır gün açığını aktif bir şekilde kullandıklarını duyurdu. Bu güvenlik sorunu, saldırganların web arayüzü aracılığıyla, etkilenen sunucularda yönetici erişimi kazanmalarına olanak tanıyor.
CrushFTP Nedir?
CrushFTP, kuruluşların FTP, SFTP, HTTP/S ve diğer protokoller üzerinden dosyaları güvenli bir şekilde paylaşmalarını ve yönetmelerini sağlayan bir kurumsal dosya transfer sunucusu olarak bilinmektedir. Saldırganların bu yazılıma yönelik yaptıkları saldırılar, özellikle güncellemeleri yapılmamış sunucularda büyük bir tehdit oluşturuyor.
Açığın Keşfi
CrushFTP’den alınan verilere göre, bu güvenlik açığının ilk kez 18 Temmuz 2025 tarihinde CST saatiyle sabah 9’da istismar edildiği tespit edilmiştir. Ancak açığın, bir gün öncesinden itibaren kullanılmaya başlandığı düşünülmektedir. CrushFTP CEO’su Ben Spink, BleepingComputer’a verdiği röportajda, daha önce HTTP(S) ile ilgili bir AS2 açığını düzeltmeleri sırasında bu sıfır gün açığını da yanlışlıkla engellediklerini belirtti.
Açığın Nedenleri ve Etkileri
CrushFTP, siber saldırganların yazılımlarını tersine mühendislik yöntemiyle ele geçirerek bu yeni hatayı keşfettiklerini ve bu hatayı güncellemelerini yapmamış cihazlarda istismar etmeye başladıklarını ifade etti. “Bu açığın, yaklaşık olarak 1 Temmuz’dan önceki versiyonlarda mevcut olduğunu düşünüyoruz. CrushFTP’nin en son sürümlerinde bu sorun düzeltilmiş durumda.” denildi.
Bu açığın kullanımı, HTTP(S) aracılığıyla server üzerinde gerçekleştirilmektedir. Belirli sürümlerden önceki CrushFTP sürümlerinin, bu açığı taşımadığı belirtilmektedir. Eğer sistem düzenli olarak güncellenmişse, bu açıktan etkilenmeyeceklerdir.
Yönetici Tavsiyeleri ve Önlemler
Eğer yöneticiler sistemlerinin ihlal edildiğinden şüpheleniyorlarsa, 16 Temmuz tarihinden önceki bir yedekten standart kullanıcı yapılandırmasını geri yüklemeleri tavsiye edilmektedir. Olayın belirtileri arasında ise MainUsers/default/user.XML dosyasında beklenmedik girişlerin yer alması, yanı sıra yeni ve tanınmayan yönetici kullanıcı adları bulunması yer alıyor.
Spink’in açıklamalarına göre, en yaygın olarak görülen durum standart kullanıcının değiştirilmesi ve bunun sonucunda elde edilen geçersiz kullanıcı bilgileridir. “Genel olarak, saldırganlar tarafından kullanılabilir halde ama başka kimse tarafından kullanılamayan çok geçersiz yollarla değiştirilmiş olduğu görülmektedir.” diyor.
CrushFTP, bu tür istismarları önlemek için aşağıdaki önlemleri almayı öneriyor:
- IP beyaz listeleme ile sunucu ve yönetici erişimi sağlamak
- DMZ instance kullanımı
- Otomatik güncellemeleri etkinleştirmek
DMZ Kullanımının Riskleri
Ancak, siber güvenlik firması Rapid7, DMZ kullanımının güvenliği garanti etmediği konusunda uyarıda bulunmaktadır. “Dikkat açısından, DMZ’ye dayanmayı önermiyoruz.” ifadeleriyle bu önlemin yeterli olmayabileceği belirtildi.
Veri Hırsızlığı ve Ransomware Tehditleri
Bu aşamada, saldırıların veri hırsızlığı ya da kötü amaçlı yazılım yaymak için kullanılıp kullanılmadığı henüz netlik kazanmış değil. Ancak, yönetilen dosya transfer çözümleri son yıllarda veri hırsızlığı kampanyalarının yüksek değerli hedefleri haline geldi.
Geçmişte, ransomware çeteleri, benzer platformlarda sıfır gün açıklarını kullanarak mass veri hırsızlığı ve şantaj saldırıları gerçekleştirmiştir. Cleo, MOVEit Transfer, GoAnywhere MFT gibi platformlar bu tür saldırılara maruz kalmıştır.
Sonuç ve Öneriler
Siber güvenlik açıklarının sürekli evrildiği günümüzde, dikkatli olmak ve yüksek güvenlik önlemleri almak son derece önemlidir. CrushFTP kullanıcılarının, sistem güncellemelerini aksatmadan takip etmeleri ve saldırı belirtilerine karşı dikkatli olmaları önerilir. Bu tür durumlar, günümüz dijital dünyasında sadece bireyleri değil, aynı zamanda büyük organizasyonları da tehdit etmektedir.
