A empresa CrushFTP alertou seus usuários sobre uma vulnerabilidade zero-day crítica, identificada como CVE-2025-54309, que está sendo explorada ativamente por cibercriminosos. Essa falha permite que atacantes obtenham acesso administrativo por meio da interface web em servidores que executam versões vulneráveis do software.
O CrushFTP é uma solução corporativa de transferência de arquivos utilizada por organizações que precisam compartilhar dados de forma segura via protocolos como FTP, SFTP, HTTP/S, entre outros. O software é amplamente utilizado em ambientes empresariais por sua robustez e flexibilidade na gestão de arquivos.
Segundo a empresa, os primeiros sinais de exploração da falha ocorreram em 18 de julho, por volta das 9h da manhã (horário central dos EUA), embora haja indícios de que os ataques possam ter começado já nas primeiras horas do dia anterior. A vulnerabilidade impacta diretamente versões lançadas antes de 1º de julho de 2025. O CEO da CrushFTP, Ben Spink, explicou que, por coincidência, uma correção anterior voltada a um outro problema relacionado ao protocolo AS2 acabou bloqueando a exploração desta vulnerabilidade também. No entanto, essa mitigação involuntária estava presente apenas nas versões mais recentes do software. Acredita-se que os atacantes tenham feito engenharia reversa no software para descobrir esse novo bug, mirando dispositivos que não haviam recebido os patches mais recentes. A falha estava presente em versões anteriores a CrushFTP v10.8.5 e v11.3.4_23, versões estas que já trazem a correção embutida.
