MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

ثغرة حرجة في CrushFTP تسمح للمهاجمين بالوصول لصلاحيات المدير في الخوادم غير المحدثة

ثغرة CVE-2025-54309 في CrushFTP تُستغل للوصول الإداري الكامل على الخوادم غير المحمية مما يهدد البيانات الحساسة للمؤسسات.


هاكرز يستغلون ثغرة خطيرة في CrushFTP للوصول إلى صلاحيات المدير في الخوادم غير المحدثة
Hackers Exploit Critical CrushFTP Flaw to Gain Admin Access

إعداد: مايسترو نيرو - قسم الأمن السيبراني

تم الكشف عن ثغرة أمنية حرجة في برنامج CrushFTP تُستغل بنشاط في الوقت الحالي، وتحمل المعرف CVE-2025-54309 مع درجة خطورة CVSS تبلغ 9.0.

وفقًا لقاعدة بيانات الثغرات الوطنية (NVD)، فإن الإصدارات المتأثرة هي CrushFTP 10 قبل 10.8.5 وCrushFTP 11 قبل 11.3.4_23، عندما لا يتم استخدام خاصية DMZ proxy، مما يسمح للمهاجمين بالحصول على صلاحيات المدير عبر بروتوكول HTTPS بسبب ضعف في التحقق من AS2.

تفاصيل الاستغلال

أكدت الشركة أنها رصدت الهجوم يوم 18 يوليو 2025، الساعة 9 صباحًا بتوقيت CST، لكن من المحتمل أن الاستغلال قد بدأ قبل ذلك بوقت. وقالت الشركة إن التغيير البرمجي الذي أُجري سابقًا في AS2 ربما أعطى المهاجمين فكرة لاستغلال الثغرة السابقة بشكل جديد.

يُستخدم CrushFTP على نطاق واسع في القطاعات الحكومية والطبية والمؤسساتية، مما يجعل الوصول الإداري إليه يشكل تهديدًا كبيرًا يسمح بسرقة البيانات أو زرع أبواب خلفية أو تنفيذ تحركات جانبية داخل الشبكة.

مؤشرات الاختراق (IoCs)

  • وجود مستخدم افتراضي بصلاحيات المدير.
  • إنشاء معرفات مستخدم عشوائية وطويلة مثل: 7a0d26089ac528941bf8cb998d97f408m.
  • تعديل ملف MainUsers/default/user.xml وظهور قيمة "last_logins".
  • ظهور زر "Admin" في واجهة المستخدم لمستخدمين عاديين سابقًا.

يوصى بفحص توقيتات تعديل ملفات المستخدم، وتحليل سجلات الدخول الإدارية ومراجعة تغييرات الصلاحيات، مع التركيز على الأنماط غير المألوفة أو التصعيد المفاجئ للامتيازات.

الإجراءات الوقائية المقترحة

  • استرجاع المستخدم الافتراضي من النسخ الاحتياطية.
  • فحص تقارير التحميل/التنزيل بحثًا عن نشاطات مريبة.
  • تقييد عناوين IP التي يمكنها تنفيذ إجراءات إدارية.
  • إنشاء قائمة آمنة (Allowlist) لعناوين IP المسموح لها بالوصول.
  • التحول إلى بيئة DMZ لاستخدام CrushFTP في المؤسسات.
  • تفعيل التحديثات التلقائية.

خلفية وثغرات سابقة

ليست هذه المرة الأولى التي يُستغل فيها CrushFTP، ففي أبريل الماضي استُخدمت ثغرة أخرى (CVE-2025-31161) لنشر برمجيات خبيثة مثل MeshCentral agent. كما استهدفت ثغرة CVE-2024-4040 كيانات أمريكية في العام السابق.

مع تكرار استهداف CrushFTP، يجب على المؤسسات التعامل مع هذه الحوادث ضمن تقييم شامل لمخاطر سلسلة التوريد والتحديثات الأمنية واكتشاف الثغرات بصفر يوم (zero-day).

آخر تحديث: 20 يوليو 2025