1.000'den Fazla CrushFTP Sunucusu Kritik Açık Nedeniyle Ele Geçirilmeye Açık Durumda
CVE-2025-54309 kodlu güvenlik açığı, dünya genelinde 1.000’i aşkın CrushFTP sunucusunu saldırılara karşı savunmasız bırakıyor. Etkili önlemler almayan kullanıcılar, yönetici erişimi dahil olmak üzere ciddi risklerle karşı karşıya.
CrushFTP yazılımında tespit edilen kritik güvenlik açığı (CVE-2025-54309), internete açık durumda bulunan 1.000’i aşkın sunucunun kötü niyetli kişilerce ele geçirilmesine neden olabilecek saldırıların önünü açtı. Açığın, AS2 doğrulamasının hatalı işlenmesinden kaynaklandığı ve 10.8.5 ile 11.3.4_23 altındaki tüm sürümleri etkilediği bildirildi.
CrushFTP tarafından yapılan açıklamada, söz konusu güvenlik zafiyetinin 18 Temmuz 2025 tarihinde aktif olarak istismar edildiği ve saldırganların yazılım kodunu tersine mühendislik yöntemiyle analiz ederek daha önce düzeltilmiş olan bir hatayı hedef aldığı ifade edildi.
"Güncelleme yapan kullanıcılar etkilenmedi"
Şirket, açık nedeniyle yalnızca güncellemelerini yapmayan sistemlerin hedef alındığını, en güncel sürümü kullanan sunucuların bu açıklardan etkilenmediğini vurguladı. Ayrıca, ana sunucudan izole şekilde yapılandırılan DMZ (Demilitarized Zone) sistemlerinin de güvende olduğu bildirildi.
Kullanıcılara, yükleme ve indirme günlüklerinin şüpheli etkinlikler açısından incelenmesi, otomatik güncellemelerin aktif hale getirilmesi ve yönetim paneline yalnızca izinli IP adreslerinden erişim sağlanması tavsiye ediliyor.
Shadowserver: 1.040 sunucu hala savunmasız
Siber tehdit izleme platformu Shadowserver’ın gerçekleştirdiği taramalara göre, dünya genelinde yaklaşık 1.040 CrushFTP sunucusu hala söz konusu açıklara karşı yamalanmamış durumda. Shadowserver, bu sunucuların yöneticilerini bilgilendirmeye başladığını açıkladı.
Saldırıların veri hırsızlığı mı yoksa kötü amaçlı yazılım yükleme amaçlı mı olduğu henüz netleşmemiş olsa da, son yıllarda yönetilen dosya transfer yazılımları fidye yazılım gruplarının öncelikli hedefleri arasında yer alıyor.
Clop grubu benzer sistemleri daha önce hedef aldı
Clop adlı siber suç grubu, daha önce Accelion FTA, GoAnywhere MFT, MOVEit Transfer ve Cleo yazılımında bulunan sıfırıncı gün açıklarını kullanarak geniş çaplı veri hırsızlığı saldırıları gerçekleştirmişti.
CrushFTP, Nisan 2024'te CVE-2024-4040 kodlu başka bir sıfır gün açığını kapatmış, o dönemde saldırıların ABD’deki bazı kurumları hedef aldığı ve siyasi amaçlı olabileceği değerlendirilmişti.
Kaynak: CUMHA - CUMHUR HABER AJANSI
