CrushFTP bajo ataque de nuevo: puertas traseras, cuentas falsas e inicio de sesión invisible al panel de administración

El servicio CrushFTP se ha enfrentado a una nueva vulnerabilidad crítica que ya está siendo explotada en ataques reales. La vulnerabilidad ha recibido el identificador CVE-2025-54309 y una puntuación de 9.0 en la escala CVSS. El error está relacionado con un procesamiento incorrecto de la verificación AS2, lo que permite a los atacantes obtener acceso administrativo al servidor a través de HTTPS, si no se utiliza un proxy DMZ.

La empresa CrushFTP informó que detectó por primera vez el uso de esta vulnerabilidad el 18 de julio de 2025. Sin embargo, el equipo reconoció que la vulnerabilidad podría haber sido explotada anteriormente. Según los desarrolladores, inicialmente se corrigió otro error relacionado con AS2, pero los atacantes, al notar los cambios en el código, lograron centrar su atención en un error antiguo y lo adaptaron para un nuevo ataque.

CrushFTP se utiliza activamente en sectores donde se transmiten datos confidenciales, como organismos gubernamentales, el sector sanitario y grandes empresas. Por lo tanto, el acceso administrativo obtenido por los atacantes representa una amenaza grave. Los intrusos pueden robar archivos, instalar puertas traseras y penetrar más profundamente en la infraestructura corporativa, aprovechando la confianza en CrushFTP como punto de entrada. Sin una segmentación a través de DMZ, el servidor se convierte en un eslabón vulnerable dentro de toda la arquitectura de seguridad.

Según la empresa, los atacantes lograron reconstruir la estructura del código fuente y de esta manera identificaron la brecha explotable, que se presume existía en las versiones de CrushFTP lanzadas antes del 1 de julio.

Entre los signos de compromiso, los desarrolladores enumeraron los siguientes:

• la cuenta predeterminada obtuvo privilegios administrativos;
• aparecieron nombres de usuario aleatorios y largos, por ejemplo: 7a0d26089ac528941bf8cb998d97f408m;
• se crearon usuarios adicionales con derechos de administrador;
• el archivo «MainUsers/default/user.xml» fue modificado recientemente, especialmente en el campo «last_logins»;
• en la interfaz web desaparecieron botones estándar, y los usuarios comunes obtuvieron la capacidad de iniciar sesión como administradores.

Los especialistas en seguridad aconsejan revisar la fecha de modificación del archivo user.xml, comparar los eventos de inicio de sesión con las direcciones IP, analizar el acceso a carpetas críticas y prestar atención a registros de actividad inusuales, especialmente al crear nuevos usuarios o al detectar privilegios inesperados.

• restaurar la configuración de usuario desde una copia de seguridad;
• analizar los informes de carga y descarga de archivos en busca de actividad sospechosa;
• limitar las direcciones IP desde las cuales se permiten acciones administrativas;
• definir una lista de direcciones IP de confianza permitidas para acceder al servidor;
• utilizar servidores DMZ para entornos corporativos;
• habilitar actualizaciones automáticas.

Todavía no está claro cómo se lleva a cabo exactamente el ataque, pero ya se sabe que incidentes similares han ocurrido anteriormente. En abril de 2025, la vulnerabilidad CVE-2025-31161 (CVSS 9.8) fue utilizada para distribuir software malicioso, incluido el agente de MeshCentral. En 2024, otra vulnerabilidad — CVE-2024-4040 — permitió a los atacantes comprometer varias organizaciones estadounidenses.

Considerando los ataques regulares que aprovechan errores críticos previamente desconocidos en CrushFTP, queda claro que este sistema sigue siendo un objetivo prioritario en campañas complejas y dirigidas. Las organizaciones deben tener en cuenta este factor al evaluar el nivel de amenazas, prestando atención no solo a las actualizaciones oportunas, sino también al control del software de terceros para intercambio de archivos y a la gestión de los derechos de acceso.