Một lỗ hổng zero-day nghiêm trọng trong các máy chủ CrushFTP đang bị các tác nhân đe dọa khai thác chủ động để xâm phạm hệ thống trên toàn thế giới.
Chi tiết lỗ hổng CVE-2025-54309
Lỗ hổng này, được định danh là CVE-2025-54309, lần đầu tiên được quan sát thấy trong các vụ khai thác chủ động vào lúc 9:00 AM CST ngày 18 tháng 7, mặc dù các nhà nghiên cứu bảo mật tin rằng các cuộc tấn công có thể đã diễn ra trong thời gian dài hơn trước khi được phát hiện.
Lỗi bảo mật này thể hiện một trường hợp kỹ thuật đảo ngược (reverse engineering) tinh vi, nơi những kẻ tấn công đã phân tích mã nguồn của CrushFTP để xác định và khai thác một lỗ hổng đã được vá trước đó nhưng vẫn tồn tại trong các bản cài đặt lỗi thời. Theo khuyến nghị bảo mật của CrushFTP, lỗ hổng này xuất phát từ một lỗi mà các nhà phát triển đã giải quyết trong các phiên bản gần đây, nhưng những kẻ tấn công đã khám phá ra cách khai thác cùng một vấn đề cơ bản ảnh hưởng đến các bản dựng cũ hơn.
Cụ thể, công ty đã lưu ý rằng tin tặc đã thực hiện kỹ thuật đảo ngược các thay đổi mã của họ (tức là các bản vá) và xác định một phương pháp để khai thác lỗ hổng đã tồn tại từ trước trong các hệ thống chưa được cập nhật. Điều này nhấn mạnh tầm quan trọng thiết yếu của việc duy trì các phiên bản phần mềm hiện hành, vì các tổ chức đang chạy các bản cài đặt CrushFTP được cập nhật đã được bảo vệ khỏi nỗ lực khai thác này.
Vector tấn công sử dụng các giao thức HTTP và HTTPS để xâm phạm các máy chủ dễ bị tổn thương, khiến nó đặc biệt nguy hiểm đối với các cài đặt hướng ra Internet.
Hệ thống và phiên bản bị ảnh hưởng
Lỗ hổng này tác động đến một loạt đáng kể các bản cài đặt CrushFTP trên hai nhánh phiên bản chính:
- Tất cả các cài đặt CrushFTP phiên bản 10 dưới 10.8.5 đều dễ bị khai thác.
- Tất cả các cài đặt CrushFTP phiên bản 11 dưới 11.3.4_23 đều dễ bị khai thác.
Lỗ hổng dường như đã tồn tại trong các bản dựng được tạo trước ngày 1 tháng 7, khiến bất kỳ bản cài đặt nào từ khung thời gian đó đều có khả năng dễ bị tấn công.
Khách hàng doanh nghiệp sử dụng cấu hình DMZ CrushFTP được đặt phía trước máy chủ chính của họ vẫn không bị ảnh hưởng bởi lỗ hổng cụ thể này. Điều này minh chứng cho lợi ích bảo mật của việc phân đoạn mạng hợp lý và các chiến lược phòng thủ theo lớp.
Chỉ số lây nhiễm (Indicators of Compromise – IOCs)
Các tổ chức có thể xác định khả năng bị xâm phạm thông qua một số chỉ số chính:
- Sửa đổi tệp MainUsers/default/user.XML trái phép: Các hệ thống bị ảnh hưởng thường hiển thị các sửa đổi không được phép đối với tệp
MainUsers/default/user.XML, bao gồm sự xuất hiện của các mục “last_logins” và dấu thời gian sửa đổi gần đây. - Người dùng mặc định có quyền truy cập quản trị: Người dùng mặc định của hệ thống có thể được cấp quyền quản trị mà không có sự cho phép.
- Tạo ID người dùng ngẫu nhiên dài: Phát hiện các ID người dùng mới được tạo với chuỗi ký tự ngẫu nhiên, dài bất thường.
- Mất nút trên giao diện web của người dùng cuối: Một số nút chức năng có thể biến mất khỏi giao diện web dành cho người dùng cuối.
- Thao túng hiển thị phiên bản: Các tác nhân đe dọa đã sử dụng các kỹ thuật lẩn tránh tinh vi, bao gồm thao túng hiển thị phiên bản để hiển thị số phiên bản sai, tạo ra một cảm giác bảo mật sai lệch cho quản trị viên.
CrushFTP khuyến nghị sử dụng chức năng validation hash của họ để phát hiện các sửa đổi mã trái phép. Chức năng này giúp xác minh tính toàn vẹn của các tệp hệ thống bằng cách so sánh các giá trị hash hiện tại với các giá trị hash đáng tin cậy.
Biện pháp giảm thiểu và khuyến nghị
Để bảo vệ hệ thống khỏi lỗ hổng CVE-2025-54309 và các mối đe dọa tương tự, các tổ chức nên thực hiện các biện pháp sau ngay lập tức:
- Cập nhật ngay lập tức: Nâng cấp lên các phiên bản CrushFTP mới nhất. Cụ thể, đảm bảo rằng các bản cài đặt CrushFTP v10 là 10.8.5 trở lên và các bản cài đặt CrushFTP v11 là 11.3.4_23 trở lên. Việc cập nhật là biện pháp phòng thủ hiệu quả nhất chống lại các lỗ hổng đã được biết.
- Triển khai danh sách trắng IP (IP whitelisting): Hạn chế quyền truy cập vào máy chủ CrushFTP chỉ từ các địa chỉ IP đáng tin cậy và được ủy quyền. Điều này giúp giảm thiểu bề mặt tấn công và ngăn chặn các kết nối độc hại.
- Thực hiện quy trình khôi phục bản sao lưu định kỳ: Duy trì các bản sao lưu dữ liệu và cấu hình hệ thống thường xuyên. Trong trường hợp bị xâm phạm, việc có các bản sao lưu sạch sẽ giúp khôi phục hoạt động một cách nhanh chóng và hiệu quả.
- Sử dụng chức năng validation hash của CrushFTP: Định kỳ sử dụng chức năng này để kiểm tra tính toàn vẹn của mã nguồn và cấu hình, giúp phát hiện sớm các sửa đổi trái phép.
Việc tuân thủ các khuyến nghị này sẽ tăng cường đáng kể tư thế bảo mật của các triển khai CrushFTP và giúp ngăn chặn các cuộc tấn công khai thác lỗ hổng đã biết.
