CVE-2025-54309

CrushFTP CrushFTP

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-07-22

Официальное описание

CrushFTP contains an unprotected alternate channel vulnerability. When the DMZ proxy feature is not used, mishandles AS2 validation and consequently allows remote attackers to obtain admin access via HTTPS.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-54309 представляет собой критическую уязвимость типа «Unprotected Alternate Channel» (незащищенный альтернативный канал) в программном обеспечении CrushFTP. Проблема возникает в конфигурациях, где не используется DMZ-прокси.

Из-за некорректной обработки валидации протокола AS2 (Applicability Statement 2) через HTTPS, злоумышленник может обойти механизмы аутентификации. Это позволяет удаленному неавторизованному пользователю получить полный административный доступ к серверу CrushFTP. Уязвимость критична, так как предоставляет контроль над файловой системой и настройками сервера без знания учетных данных.

Как исправить

Основным способом устранения уязвимости является обновление CrushFTP до версии, в которой исправлена логика обработки AS2-запросов.

  1. Перейдите в консоль администрирования CrushFTP.
  2. Выполните проверку обновлений и установите последнюю доступную версию (рекомендуется версия 11.1.0 или выше, в зависимости от ветки).
  3. Если автоматическое обновление недоступно, скачайте актуальный бинарный файл с официального сайта и замените существующий CrushFTP.jar.

Для обновления через командную строку (Linux):

wget https://www.crushftp.com/early11/CrushFTP11.zip


unzip -o CrushFTP11.zip -d /var/opt/CrushFTP11/


systemctl restart crushftp

Для обновления (Windows PowerShell):

Stop-Service CrushFTP


Expand-Archive -Path ".\CrushFTP11.zip" -DestinationPath "C:\CrushFTP11\" -Force


Start-Service CrushFTP

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки следующими способами:

  1. Отключение AS2: Если ваша организация не использует протокол AS2 для передачи данных, полностью отключите этот сервис в настройках сервера (IP/Groups -> Services).
  2. Использование DMZ Proxy: Уязвимость проявляется только в отсутствие DMZ-прокси. Развертывание CrushFTP в конфигурации с использованием CrushFTP DMZ Proxy предотвращает прямую эксплуатацию данного вектора.
  3. Ограничение доступа по IP: Настройте правила межсетевого экрана (Firewall), чтобы разрешить доступ к HTTPS-порту управления и AS2 только с доверенных IP-адресов.
  4. Блокировка путей на WAF: Если перед сервером стоит Web Application Firewall, настройте блокировку специфических для AS2 запросов, если они не являются легитимными для вашего бизнес-процесса.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей