Les attaquants ciblent désormais une vulnérabilité critique de contournement d’authentification dans le logiciel de transfert de fichiers CrushFTP à l’aide d’exploits basés sur un code de validation de principe accessible au public.
La vulnérabilité de sécurité (CVE-2025-2825) a été signalée par Outpost24 et permet aux attaquants distants d’obtenir un accès non authentifié aux appareils exécutant le logiciel CrushFTP v10 ou v11 non corrigé.
« Veuillez prendre des mesures immédiates pour corriger DÈS que POSSIBLE. L’essentiel de cette vulnérabilité est qu’un port HTTP(S) exposé pourrait conduire à un accès non authentifié », a averti CrushFTP dans un e-mail envoyé aux clients le vendredi 21 mars, lorsqu’il a publié des correctifs pour corriger la faille de sécurité.
Pour contourner ce problème, les administrateurs qui ne peuvent pas mettre à jour immédiatement CrushFTP 10.8.4 et versions ultérieures ou 11.3.1 et versions ultérieures peuvent activer l’option de réseau de périmètre DMZ (zone démilitarisée) pour protéger leurs serveurs CrushFTP jusqu’à ce qu’ils puissent patcher.
Une semaine plus tard, la plate-forme de surveillance des menaces de sécurité Shadowserver a averti que ses pots de miel détectaient des dizaines de tentatives d’exploitation ciblant les serveurs CrushFTP exposés à Internet, avec plus de 1 500 instances vulnérables exposées en ligne.
L’avertissement intervient quelques jours après que ProjectDiscovery a publié un article contenant les détails techniques de CVE-2025-2825 et un exploit de validation de principe.
« Nous observons des tentatives d’exploitation de CrushFTP CVE-2025-2825 basées sur du code d’exploitation PoC accessible au public », a déclaré Shadowserver lundi. « Encore 1512 instances non corrigées vulnérables à CVE-2025-2825 vues le 30/03/2025. »
Les produits de transfert de fichiers tels que CrushFTP figurent en bonne place sur la liste des cibles des gangs de ransomwares, en particulier Clop, qui a été lié à des attaques de vol de données ciblant des failles zero-day dans Accelion FTA, MOVEit Transfer, GoAnywhere MFT et, plus récemment, Cleo software.
Il y a un an, en avril 2024, CrushFTP a corrigé une vulnérabilité zero-day activement exploitée (suivie comme CVE-2024-4040) qui permettait à des attaquants non authentifiés d’échapper au système de fichiers virtuel (VFS) de l’utilisateur et de télécharger des fichiers système.
À l’époque, la société de cybersécurité CrowdStrike a trouvé des preuves que la campagne ciblant les serveurs CrushFTP de plusieurs organisations américaines était probablement motivée par des considérations politiques et axée sur la collecte de renseignements.
La Cybersecurity and Infrastructure Security Agency (CISA) a également ajouté CVE-2024-4040 à son catalogue de vulnérabilités exploitées connues, ordonnant aux agences fédérales de sécuriser les systèmes vulnérables sur leurs réseaux dans un délai d’une semaine.
Les clients de CrushFTP ont également été avertis de corriger un bogue critique d’exécution de code à distance (CVE-2023-43177) dans la suite Enterprise de la société en novembre 2023 après que les chercheurs en sécurité de Converge (qui ont découvert et signalé la faille) ont publié un exploit de validation de principe trois mois après la publication des mises à jour de sécurité.