7 月 18 日,代管式檔案傳輸方案商 CrushFTP 安全公告指出,已發現 CrushFTP 平台重大零時差漏洞遭攻擊者利用,儘管未找到證據,但攻擊行動可能發現前就開始了。
CrushFTP 安全公告說,所有 10.8.5 和 11.3.4_23 以下版本 CrushFTP,都會受零時差安全漏洞(編號 CVE-2025-54309,源於 AS2 驗證處理不當)影響。
攻擊者正入侵未及時更新版本的使用者,有持續更新的使用者未受攻擊影響,突顯定期且頻繁更新的重要性。只要伺服器版本保持最新狀態,或採 DMZ 隔離區實例隔離主伺服器,也不會受攻擊。
資安威脅監控平台 Shadowserver 掃描,約 1,040 個 CrushFTP 實例尚未修補 CVE-2025-54309,因此有遭植入惡意軟體,甚至資料竊取等的風險。
近年來,CrushFTP 等代管式檔案傳輸解決方案已成為勒索軟體集團眼中的高價值目標。如 Clop 網路犯罪集團就多次攻擊零時差漏洞竊取資料,對象有 Accelion FTA、GoAnywhere MFT、MOVEit Transfer 及 Cleo 等代管式檔案傳輸平台。
2024 年 4 月,CrushFTP 也曾修補編號 CVE-2024-4040 零時差漏洞,因讓未經驗證攻擊者突破使用者虛擬檔案系統(VFS)並下載系統檔案。資安公司 CrowdStrike 發現,這類專門鎖定採用 CrushFTP 方案之美國公司的攻擊有蒐集情資的傾向,背後極可能為政治動機。
不論如何,CrushFTP 建議,除了定期頻繁更新修補,不妨啟用自動更新機制,隨時檢查上傳與下載日誌是否有異常,並以 IP 白名單控管伺服器與存取管理介面,以降低零時差漏洞攻擊的風險。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
