Fuente: Hackread.com – Autor: Deeba Ahmed. WatchToWr Labs descubre un exploit de día cero (CVE-2025-54309) en Crushftp. La vulnerabilidad permite a los piratas informáticos obtener acceso de administrador a través de la interfaz web. Actualización a V10.8.5 o V11.3.4. Los hackers están explotando activamente una vulnerabilidad de día cero en CrushFTP, un servidor de transferencia de archivos ampliamente utilizado. La firma de ciberseguridad WatchToWr Labs descubrió la explotación activa de este defecto, rastreado como CVE-2025-54309. La vulnerabilidad se agregó al Catálogo de vulnerabilidades explotadas de CISA conocido el 22 de julio de 2025, confirmando su estado crítico. La investigación de WatchToWr Labs reveló una amenaza crítica para más de 30,000 instancias en línea del software. En su declaración oficial, CrushFTP confirmó que la vulnerabilidad había sido explotada en la naturaleza desde el 18 de julio de 2025. Anuncio oficial de CLSTLFTP (Fuente: WatchToWr Labs) La compañía señaló que las últimas versiones del software ya habían solucionado el problema. Los piratas informáticos probablemente descubrieron cómo explotar el error después de que la compañía hizo un cambio de código reciente para solucionar un problema diferente, revelando accidentalmente la vulnerabilidad a los atacantes. «Creemos que este error estaba en las construcciones antes del período de tiempo del 1 de julio, aproximadamente … las últimas versiones de CrushFTP ya tienen el problema parcheado. El vector de ataque era HTTP (S) de cómo podían explotar el servidor. Habíamos solucionado un problema diferente relacionado con AS2 en HTTP (S) que no se daba cuenta de que el error anterior podría usarse como este exploit. Declaración de Crushftp. El exploit explicó que WatchToWr Labs usó su red de honeypot patentada, llamada atacante ojo, para capturar el ataque como sucedió. El equipo desplegó un sensor específico para CrushFTP y recibió una alerta inmediata cuando se violó el sensor. El análisis del tráfico de red sin procesar reveló un patrón distinto: se envían dos solicitudes HTTP similares en rápida sucesión, repitiendo más de 1,000 veces. La diferencia clave entre las dos solicitudes fue en sus encabezados. La primera solicitud contenía un encabezado que apuntaba a la Crushadmin del usuario administrativo interno, mientras que la segunda solicitud no. Este comportamiento insinuó una condición de carrera, que ocurre cuando dos tareas compiten por los recursos, y el resultado depende de cuál termine primero. En este caso, las dos solicitudes estaban corriendo para ser procesadas. Si las solicitudes llegaron en un pedido muy específico, la segunda solicitud pudo aprovechar la primera, ejecutándose como el usuario de Crushadmin sin la autenticación adecuada (ya que el servidor cree que el atacante es un administrador). A partir de ahí, se acabó efectivamente porque el hacker puede evitar la autenticación y luego tomar el control total del servidor, recuperar archivos confidenciales y causar daños significativos. El ataque ocurre específicamente a través de la interfaz web del software en las versiones antes de CrushFTP V10.8.5 y CrushFTP V11.3.4_23. Tenga en cuenta que los clientes empresariales que usan una instancia DMZ CrushFTP para aislar su servidor principal no se cree que se vean afectados. Para confirmar sus hallazgos, WatchToWr Labs creó su propio script para replicar el ataque y creó con éxito una nueva cuenta de administrador en una instancia vulnerable. Lo que debe hacer según los investigadores, los desarrolladores de CLSTRFTP habían parchado en silencio este problema en las actualizaciones recientes sin advertir públicamente a los usuarios, dejando a muchos en riesgo. Dado que esta vulnerabilidad se está explotando activamente, es fundamental asegurar su sistema actualizando el software a las últimas versiones parcheadas de inmediato. Original Post url: https://hackread.com/hackers-exploit-crushftp-zero-day-take-over-servers/Category & Tags: Security,0day,CISA,CrushFTP,Cybersecurity,FTP,Vulnerability,WatchTowr Labs – Security,0day,CISA,CrushFTP,Cybersecurity,FTP,Vulnerability,WatchTowr Labs