CrushFTP’nin Sıfır Gün Açığı CVE-2025-54309
CrushFTP, güvenli dosya transferi sağlamak amacıyla kullanılan bir işletme düzeyi dosya transfer sunucusudur. FTP, SFTP, HTTP/S gibi protokollerle dosyaların güvenli bir şekilde paylaşılmasını ve yönetilmesini sağlar. Ancak, son günlerde CrushFTP’nin kritik bir güvenlik açığı keşfedildi. Bu açık, saldırganların, savunmasız sunuculardaki web arayüzü üzerinden yönetici erişimi elde etmesine olanak tanıyor ve CVE-2025-54309 olarak takip ediliyor.
Sıfır Gün Açığı Üzerine İlk Gözlemler
CrushFTP, bu açığın ilk olarak 18 Temmuz 2025 tarihinde, saat 9:00 CST’de kullanılmaya başlandığını bildirdi. Ancak, açığın bir gün önceki saatlerde de ihlal edilmiş olabileceği düşünülüyor. CrushFTP CEO’su Ben Spink, yaptığı açıklamada, daha önce HTTP(S) ile ilgili AS2 ile bağlantılı bir güvenlik açığını düzelttiklerini ve bu düzeltmenin aslında sıfır gün açığını da yanlışlıkla engellediğini belirtti.
Spink, “Önceki düzeltme, bu açığı engelleme şansı buldu, ancak bu düzeltme aslında farklı bir sorunu hedefliyordu,” dedi. CrushFTP, saldırganların yazılımlarını tersine mühendislik ile inceleyerek bu yeni hatayı bulduklarını ve yamanmamış cihazlarda bu açıkları kullandıklarını öne sürüyor.
Etki Alanı ve Zafiyetin Belirtileri
Bu saldırının etkilediği yazılım versiyonları, CrushFTP v10.8.5 ve CrushFTP v11.3.4_23 öncesi sürümlerdir. CrushFTP, bu sürümlerin tam ne zaman piyasaya sürüldüğünü açıkça belirtmemiştir, fakat açığın 1 Temmuz itibarıyla mevcut olduğuna inanıyor. Sistemi güncel tutan kullanıcıların bu sızıntıdan etkilenmediği bilgisi de verilmiştir.
Daha önce belirtilen saldırıya uğramış olabileceğini düşünen yöneticilere, 16 Temmuz’dan önceki bir yedekten varsayılan kullanıcı yapılandırmasını geri yüklemeleri önerilmektedir. Ana kullanıcılar içinde beklenmedik girişler, özellikle de son değişiklikler veya last_logins alanındaki güncellemeler, olası bir ihlal belirtisi olabilir. Ayrıca, tanımadığınız yeni yüksek düzeyde kullanıcı adları da (örneğin, 7a0d26089ac528941bf8cb998d97f408m gibi) dikkat edilmesi gereken işaretler arasındadır.
Alınması Gereken Önlemler
CrushFTP, kötü niyetli faaliyetleri azaltmak için kullanıcıların bazı adımlar atmasını öneriyor. Bunlar arasında, sunucu ve yönetici erişimi için IP beyaz listeleme, bir DMZ (Demilitarizasyon Bölgesi) kullanımı, ve otomatik güncellemelerin etkinleştirilmesi yer alıyor. Ancak, siber güvenlik firması Rapid7, DMZ kullanımının bu tür bir zafiyetin önlenmesinde güvenilir bir strateji olmadığı konusunda uyarıyor.
“Tam bir temkin için, Rapid7 olarak DMZ’yi bir hafifletme stratejisi olarak kullanmayı önermiyoruz,” dedi Rapid7.
Saldırıların Amaçları
Şu an için, bu saldırıların veri hırsızlığı veya kötü amaçlı yazılım dağıtımı amacıyla mı gerçekleştirildiği belirsizdir. Ancak, yönetilen dosya transferi çözümleri son yıllarda veri hırsızlığı kampanyaları için yüksek değerli hedefler haline gelmiştir. Geçmişte, genellikle Clop olarak bilinen fidye yazılımı çeteleri, benzer platformlardaki sıfır gün açıklarını kullanarak kitlesel veri hırsızlığı ve şantaj saldırıları gerçekleştirmiştir.
Sonuç Olarak
CrushFTP’deki güncel güvenlik açıkları, işletmelerin veri güvenliği üzerinde ciddi etkiler yaratabilir. Yetkililerin bu tür güvenlik açıklarıyla ilgili sürekli güncellenen bilgilere erişmeleri ve sistemlerini korumak için gerekli önlemleri almaları son derece önemlidir. Bu nedenle, kullanıcıların sistemlerini düzenli aralıklarla güncellemeleri ve saldırılara karşı hazırlıklı olmaları önerilmektedir.
