CrushFTP alerta para vulnerabilidade zero-day explorada por cibercriminosos

A CrushFTP emitiu um alerta de segurança urgente após identificar a exploração ativa de uma vulnerabilidade zero-day no seu software de transferência de ficheiros geridos. A falha, classificada como CVE-2025-54309, recebeu uma pontuação CVSS de 9.0, indicando um nível de gravidade elevado.

De acordo com a empresa, a vulnerabilidade resulta de um manuseamento incorreto da validação AS2, especificamente quando o recurso de proxy DMZ não está a ser utilizado. Este erro permite a cibercriminosos obterem privilégios administrativos através de pedidos HTTP, comprometendo seriamente a segurança dos sistemas afetados.

A CrushFTP revelou que os primeiros sinais de ataques in-the-wild foram detetados a 18 de julho, embora a exploração possa ter começado antes dessa data. A falha afeta todas as versões anteriores à 10.8.5 (versão 10) e anteriores à 11.3.4_23 (versão 11) do software. As versões corrigidas já estão disponíveis: 10.8.5_12 e 11.3.4_26.

A empresa admite que não identificou inicialmente o potencial da falha, explicando que o vetor de ataque envolvia HTTP, o que permitiu que um bug anterior fosse explorado de forma não antecipada.

“Corrigimos um problema diferente relacionado com o AS2 no HTTP, sem nos apercebermos que o bug anterior poderia ser utilizado como este exploit foi”, referiu a CrushFTP em comunicado oficial. “Aparentemente, os cibercriminosos realizaram engenharia reversa ao código e encontraram uma forma de o explorar em instâncias não corrigidas”.

A vulnerabilidade só pode ser explorada em servidores onde não está implementada uma DMZ na frente da aplicação, uma arquitetura que separa a rede interna da externa para maior segurança. Nestes casos, o risco é significativamente reduzido, embora a empresa alerte para a necessidade de atualização urgente em todas as implementações.