ช่องโหว่ใน CrushFTP กำลังถูกโจมตี หลังมีการเผยแพร่โค้ด Proof-of-Concept

ช่องโหว่ Authentication Bypass ระดับ Critical บนซอฟต์แวร์ CrushFTP กำลังถูกโจมตี หลังจากมีการเผยแพร่โค้ด Proof-of-Concept ออกมา โดยทาง Shadowserver ตรวจพบการโจมตีเซิร์ฟเวอร์ CrushFTP ที่เข้าถึงจากอินเทอร์เน็ตได้จำนวนมาก

ช่องโหว่ดังกล่าว (CVE-2025-2825) ถูกรายงานโดย Outpost24 และส่งผลให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ใช้ซอฟต์แวร์ CrushFTP v10 หรือ v11 ที่ยังไม่ได้รับการแพตช์ โดยไม่จำเป็นต้องยืนยันตัวตน CrushFTP ได้เตือนลูกค้าผ่านทางอีเมลเมื่อวันศุกร์ที่ 21 มีนาคมให้รีบทำการแพตช์ทันที สำหรับผู้ดูแลระบบที่ไม่สามารถอัปเดต CrushFTP เป็นเวอร์ชัน 10.8.4 หรือใหม่กว่า หรือ 11.3.1 หรือใหม่กว่าได้ สามารถเปิดใช้งานตัวเลือก DMZ (demilitarized zone) เพื่อปกป้องเซิร์ฟเวอร์ CrushFTP จนกว่าจะสามารถแพตช์ได้

CVE-2025-2825 ส่งผลกระทบต่อ CrushFTP เวอร์ชัน 10.0.0 ถึง 10.8.3 และ 11.0.0 ถึง 11.3.0 เป็นช่องโหว่ประเภท authentication bypass ที่อาจทำให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถเข้าถึงเซิร์ฟเวอร์ CrushFTP ผ่านพอร์ต HTTP(S) เพียงหนึ่งสัปดาห์หลังจากที่บริษัทได้ออกแพตช์ Shadowserver ได้เตือนว่า honeypot ได้ตรวจพบความพยายามในการโจมตีเซิร์ฟเวอร์ CrushFTP ที่เชื่อมต่อเข้าสู่อินเทอร์เน็ตหลายสิบครั้ง โดยมีอุปกรณ์ที่มีช่องโหว่ออนไลน์อยู่มากกว่า 1,500 เครื่อง

ผลิตภัณฑ์ถ่ายโอนไฟล์อย่าง CrushFTP อยู่ในรายการเป้าหมายอันดับต้นๆ ของกลุ่มแรนซัมแวร์ โดยเฉพาะกลุ่ม Clop ที่เคยเชื่อมโยงกับการโจมตีการขโมยข้อมูลโดยมุ่งเป้าไปที่ช่องโหว่ Zero-day ใน Accelion FTA, MOVEit Transfer, GoAnywhere MFT และล่าสุดคือซอฟต์แวร์ Cleo

ที่มา: https://www.bleepingcomputer.com/news/security/critical-auth-bypass-bug-in-crushftp-now-exploited-in-attacks/