Voltar ao Blog

Falha no CrushFTP expõe mais de 1.000 servidores a ataques ativos de sequestro

O CrushFTP é um servidor de transferência de arquivos seguro amplamente usado por organizações para compartilhar e gerenciar arquivos via FTP, SFTP, HTTP/S e outros protocolos. Nos últimos dias, uma vulnerabilidade crítica nesse software (CVE-2025-54309) veio a público, permitindo que invasores obtenham acesso administrativo completo aos servidores afetados por meio da interface web. Estima-se que mais de 1.000 instâncias do CrushFTP expostas na internet estejam desprotegidas contra essa falha – e já sofrendo ataques ativos de “hijacking” (sequestro) visando o controle remoto desses sistemas. A seguir, detalhamos o ocorrido, os riscos envolvidos e as ações recomendadas para proteger sua infraestrutura.

O que é o CrushFTP?

O CrushFTP ( “Crush* File *Transfer Protocol” ) é uma solução de transferência de arquivos gerenciada utilizada em ambientes corporativos, governamentais e de saúde para lidar com envio e recebimento seguro de dados sensíveis. Ele suporta diversos protocolos (FTP(S), SFTP, HTTP(S), WebDAV, entre outros) e oferece funcionalidades avançadas de gerenciamento de usuários, criptografia e automação de transferências. Por ser empregado em setores críticos e para transitar informações confidenciais, qualquer brecha de segurança no CrushFTP pode ter impacto severo, permitindo acesso indevido a dados ou sistemas conectados.

Detalhes da vulnerabilidade (CVE-2025-54309)

A falha CVE-2025-54309 é uma vulnerabilidade zero-day (dia zero) crítica que reside na interface web do CrushFTP. De acordo com descrição no NIST, o problema ocorre porque o software “maneja incorretamente a validação AS2 quando o proxy DMZ não é utilizado, permitindo que atacantes remotos obtenham acesso de administrador via HTTPS”. Em outras palavras, devido a uma validação inadequada de mensagens AS2 (um protocolo de troca de dados usado em integrações empresariais), um invasor pode explorar a interface HTTP/HTTPS do CrushFTP para escalar privilégios até administrador do sistema vulnerável.

Essa brecha afeta todas as versões do CrushFTP 10 anteriores à 10.8.5 e versões do CrushFTP 11 anteriores à 11.3.4_23. A própria equipe da CrushFTP indicou que o bug provavelmente estava presente em builds liberados antes de 1º de julho de 2025, e que versões mais recentes já contem a correção embutida. A empresa detectou os primeiros sinais de exploração ativa no dia 18 de julho de 2025, às 9h (CST), e marcou publicamente o caso como um exploit zero-day em uso no dia 19 de julho.

Como o ataque funciona? Os criminosos conseguiram realizar engenharia reversa no código do CrushFTP e descobriram essa falha, explorando servidores que não foram atualizados com o patch de correção O vetor de ataque se dá pela interface web (HTTP/HTTPS) aberta – ou seja, servidores CrushFTP expostos à internet e desprotegidos podem ser comprometidos remotamente sem necessidade de autenticação, concedendo ao invasor controle administrativo completo. Importante destacar que a exploração só é viável em instâncias que não estejam protegidas por um servidor DMZ; contudo, mesmo a CrushFTP reconhece que muitos clientes menores não utilizam essa arquitetura, deixando o servidor principal diretamente acessível online.

Escala global: mais de 1.000 servidores vulneráveis

A dimensão do problema é significativa. Scans globais conduzidos pelo projeto Shadowserver identificaram cerca de 1.040 instâncias CrushFTP expostas publicamente que permanecem sem patch contra a CVE-2025-54309 – portanto vulneráveis aos ataques de sequestro. Essas instâncias englobam servidores ao redor do mundo, com concentrações notáveis em países como os Estados Unidos (aproximadamente 495 servidores vulneráveis) e várias nações da Europa e Ásia. Em resumo, mais de mil servidores de transferência de arquivos corporativos estão atualmente em risco, suscetíveis a terem seus dados acessados ou sistemas assumidos pelos invasores caso não sejam atualizados.

Distribuição estimada de servidores CrushFTP não corrigidos (fonte: Shadowserver). Cada ponto representa um servidor vulnerável à falha CVE-2025-54309, com altas concentrações nos EUA e Europa.

A organização sem fins lucrativos Shadowserver, que monitora ameaças cibernéticas, está notificando ativamente administradores e empresas cujos servidores foram detectados como desprotegidos, alertando para o risco imediato de exploração. Esses servidores vulneráveis expostos online representam um alvo atrativo – seus dados internos podem ser facilmente visados para roubo, caso um invasor consiga explorar a falha. Dada a exploração já confirmada em andamento, é urgente que qualquer organização rodando CrushFTP verifique a versão do seu servidor e aplique as devidas correções (detalhadas adiante).

Possíveis atores maliciosos por trás dos ataques

Até o momento, não há identificação pública dos grupos ou atores específicos explorando essa vulnerabilidade do CrushFTP. A atividade é atribuída genericamente a “agentes de ameaça desconhecidos”, conforme comunicado da própria CrushFTP. Esses atacantes teriam sido capazes de reverter a engenharia do software para encontrar a brecha e agora estão varrendo a internet em busca de servidores desatualizados para comprometer.

Historicamente, falhas em soluções de Transferência Gerenciada de Arquivos (MFT) como o CrushFTP vêm sendo exploradas tanto por grupos de cibercrime quanto por agentes patrocinados por estados. Nos últimos anos, gangues de ransomware – em especial o notório grupo Clop – têm repetidamente tirado proveito de vulnerabilidades zero-day em plataformas semelhantes (como Accellion FTA, GoAnywhere MFT, MOVEit Transfer e Cleo) para realizar roubo em massa de dados e extorsão de empresas ao redor do mundo. No caso do CrushFTP, ainda não há confirmação de envolvimento do Clop, mas o modus operandi de explorar servidores de transferência de arquivos vulneráveis para furtar dados sensíveis se alinha com as táticas desse e de outros coletivos criminosos.

Vale lembrar também que ataques motivados politicamente já tiveram o CrushFTP como alvo no passado. Em abril de 2024, por exemplo, uma falha crítica anterior (CVE-2024-4040) no software foi explorada contra múltiplas organizações nos EUA em uma campanha de espionagem cibernética – investigação da CrowdStrike indicou possível conexão com agentes estatais, dados os objetivos de coleta de inteligência na ocasião. Isso demonstra que tanto cibercriminosos financeiros quanto hackers estatal enxergam valor em comprometer servidores de transferência de arquivos, seja para extorsão financeira ou espionagem.

Consequências e impactos dos ataques

Os riscos de um servidor CrushFTP ser sequestrado por invasores são extremamente graves. Por se tratar de uma plataforma central de troca de arquivos, um acesso administrativo indevido equivale a um comprometimento total daquele ambiente. Entre as possíveis consequências de um ataque bem-sucedido, destacam-se:

  • Roubo de dados confidenciais: O invasor pode exfiltrar (baixar clandestinamente) todos os arquivos armazenados ou transferidos pelo CrushFTP, expondo informações sensíveis da empresa ou de clientes. Dados financeiros, pessoais, propriedades intelectuais e outros conteúdos valiosos ficam ao alcance dos atacantes.

  • Instalação de backdoors e malware: Com privilégios de administrador, o agressor pode injetar backdoors, criar novos usuários ocultos ou implantar malwares adicionais no servidor. Isso lhes permite manter acesso persistente mesmo após a vulnerabilidade ser corrigida, além de usar o servidor como ponto de apoio para outros ataques.

  • Movimentação lateral na rede: O servidor de arquivos comprometido pode servir de porta de entrada para a rede interna da organização. Através dele, o atacante pode tentar escalar acesso a outros sistemas conectados, explorando a confiança que outros servidores ou clientes depositam no CrushFTP para troca de dados. Sem um isolamento adequado (como uma zona DMZ), o servidor invadido torna-se um ponto único de falha que pode levar a uma violação maior de segurança em toda a infraestrutura.

  • Interrupção de serviços e danos operacionais: Os invasores podem deliberadamente derrubar o serviço de transferência de arquivos ou alterar configurações, causando indisponibilidade e prejudicando operações de negócio que dependem do CrushFTP. Em cenários de ataque ransomware, por exemplo, os dados roubados podem ser usados como chantagem, e o servidor pode ser criptografado ou sabotado, interrompendo fluxos de trabalho críticos.

Um exemplo real da gravidade ocorreu recentemente, em abril de 2025: outra vulnerabilidade do CrushFTP (CVE-2025-31161) foi explorada para instalar o agente de acesso remoto MeshCentral e diversos malwares nos servidores atingidos. Ou seja, os atacantes usaram a brecha para implantar ferramentas de controle que lhes davam total domínio sobre os sistemas, sem o conhecimento dos administradores. Esse incidente evidencia que falhas no CrushFTP vêm sendo ativamente armadas para invasão profunda e persistente, com potencial de causar perdas financeiras, quebras de confidencialidade e danos reputacionais severos às organizações vítimas.

Correções já disponíveis e medidas de segurança

Felizmente, a falha CVE-2025-54309 já possui correções oficiais disponibilizadas pelo fornecedor. A CrushFTP lançou atualizações emergenciais que sanam o problema nas seguintes versões (ou superiores):

  • CrushFTP 11.3.4_26 – Versão corrigida para a linha principal 11 (lançada em julho/2025).

  • CrushFTP 10.8.5_12 – Versão corrigida para a linha legada 10 (lançada em julho/2025).

Todos os administradores de servidores CrushFTP devem atualizar imediatamente para uma dessas versões (conforme a major release utilizada em seu ambiente). Aplicar o patch é fundamental – especialistas da Rapid7 ressaltam que, devido à gravidade e exploração ativa, a atualização deve ser feita em caráter de emergência, sem aguardar janelas tradicionais de manutenção. Sistemas que permanecerem nas versões vulneráveis (qualquer build abaixo de 10.8.5 ou 11.3.4_23) continuarão expostos ao risco de ataque.

Além de aplicar as atualizações, recomenda-se fortemente adotar as seguintes medidas de segurança e verificação:

  • Verificar indicadores de comprometimento: A CrushFTP divulgou IoCs (indicadores de comprometimento) para ajudar a identificar invasões. Por exemplo, verificar se o arquivo de configuração de usuários (MainUsers/default/user.xml) foi modificado recentemente com campos suspeitos (como “last_logins“) ou se surgiram usuários administrativos desconhecidos no sistema. Essas são pistas de que o servidor pode ter sido alterado pelos atacantes. Caso haja suspeita de infecção, a orientação do fornecedor é restaurar a conta “default” a partir de um backup feito antes do dia 16 de julho de 2025, garantindo remover quaisquer mudanças maliciosas.

  • Revisar logs de atividade: Analise os logs de upload/download e registros de acesso do CrushFTP em busca de atividades anômalas. Transferências não autorizadas, horários de login incomuns ou tentativas de login de IPs desconhecidos podem indicar que a instância foi alvo de exploração. Qualquer evidência de acesso indevido deve disparar procedimentos de resposta a incidentes (isolamento do servidor, troca de credenciais, etc.).

  • Restringir o acesso administrativo por IP: Implemente um controle de acesso por IP (allowlist) para a interface de administração do CrushFTP. Isso significa permitir apenas endereços IP específicos (por exemplo, da rede interna da empresa ou VPN) a acessar a área administrativa. Assim, mesmo que a interface web permaneça exposta para uso de clientes, a parte de gestão do servidor estará inacessível para atores externos não autorizados.

  • Utilizar um servidor DMZ para isolamento: Em ambientes empresariais, considere configurar uma instância CrushFTP em uma DMZ (zona desmilitarizada) na frente do servidor principal. Nesse modelo, o servidor de borda (DMZ) recebe as conexões externas e repassa ao servidor interno seguro, minimizando a exposição direta deste último. Nota: embora a CrushFTP destaque que clientes com DMZ não foram afetados por esta falha, a recomendação geral de analistas é não depender exclusivamente do DMZ como mitigação – ele ajuda, mas não substitui a necessidade do patch aplicado no servidor principal

  • Habilitar atualizações automáticas: Ative a funcionalidade de atualização automática do CrushFTP para receber futuros patches de segurança assim que disponíveis. A empresa reforça que manter o software sempre atualizado é a melhor forma de prevenir incidentes – no caso desta falha, quem estava em dia com as versões já estava protegido quando os ataques começaram.

  • Acompanhar alertas de segurança: Inscreva-se nos canais de alerta e mailing list de segurança do fornecedor (ou de fontes confiáveis de notícias de cibersegurança) para ser notificado rapidamente sobre novas vulnerabilidades críticas. No comunicado oficial, a CrushFTP incentivou os admins a cadastrarem seus e-mails para emergências, de modo a não perder avisos importantes sobre o produto.

Pronunciamento da CrushFTP

A empresa responsável, CrushFTP, reconheceu a seriedade do incidente e publicou um comunicado orientando seus clientes. Ben Spink, CEO e desenvolvedor líder do CrushFTP, afirmou que felizmente as versões mais recentes já continham a correção para essa falha, embora ela não tivesse sido percebida anteriormente: “Hackers aparentemente viram nossa alteração de código (em uma funcionalidade AS2) e descobriram uma forma de explorar o bug anterior. Por sorte, uma correção anterior acabou bloqueando essa vulnerabilidade também, mas apenas quem atualizou se beneficiou disso”, explicou Spink. Ele enfatizou ainda a importância de manter os sistemas atualizados: “Como sempre recomendamos, apliquem patches regular e frequentemente. Quem manteve o CrushFTP em dia ficou a salvo desse exploit

Em seu aviso de segurança divulgado em 19 de julho, a CrushFTP reforçou que clientes com uma instância DMZ em frente ao servidor principal não foram afetados pelo bug (pois o tráfego malicioso não atingiu o servidor interno). No entanto, para todos os demais, o recado foi claro: atualização imediata é crucial. A empresa disponibilizou pacotes de atualização para as versões suportadas, forneceu indicadores de comprometimento detalhados (para auxiliar na detecção forense) e recomendou diversas ações de mitigação – muitas das quais listamos acima – para endurecer a segurança dos servidores

Por fim, a CrushFTP agradeceu à comunidade e pesquisadores pela colaboração e ressaltou que continuará monitorando ativamente a situação. A rápida reação (com patch lançado em poucos dias) e a transparência nas recomendações demonstram um esforço para minimizar os danos e proteger os usuários dessa plataforma crítica de transferência de arquivos.

Urgência na atualização e verificação de segurança

Diante desse cenário alarmante, administradores de sistemas CrushFTP devem agir imediatamente. É imperativo aplicar o patch de segurança disponibilizado para a falha CVE-2025-54309 o mais rápido possível – idealmente, hoje mesmo, sem aguardar por ciclos tradicionais de manutenção. Em paralelo, realize uma verificação completa em seu servidor: analise os logs recentes, cheque os arquivos de configuração conforme orientado e procure por quaisquer indícios de que invasores possam ter acessado ou alterado o sistema.

A ocorrência de mais essa exploração zero-day sublinha um fato importante: soluções de transferência de arquivos gerenciadas tornaram-se alvos altamente visados por agentes maliciosos, dado o rico tráfego de dados que manipulam. Portanto, manter essas plataformas atualizadas e reforçadas deve ser tratado como prioridade na postura de segurança de qualquer organização.

Se você é responsável por um servidor CrushFTP, não adie as medidas de proteção. Atualize agora, verifique sua instância, fortaleça as defesas recomendadas e mantenha vigilância constante. Assim, você reduz drasticamente as chances de se tornar mais uma vítima desses ataques de sequestro digital em andamento – preservando a segurança dos dados e a continuidade do seu negócio.

Follow by Email
LinkedIn
Share
WhatsApp
Copy link
URL has been copied successfully!

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode gostar também…

Baixe nosso E-book sobre Cibersegurança 🔐

Dicas, práticas e ferramentas para evitar ataques de hackers em diferentes setores

Baixar