Gần đây, nhà phát triển phần mềm CrushFTP - nền tảng máy chủ truyền tệp doanh nghiệp hỗ trợ FTP, SFTP, HTTP/S, đã cảnh báo về một lỗ hổng zero-day nghiêm trọng (CVE‑2025‑54309), cho phép tin tặc chiếm quyền quản trị (admin) từ xa thông qua giao diện web.
Lỗ hổng này được định danh là CVE-2025-54309, được đánh giá có mức độ nguy hiểm cao (CVSS 9,0) và đã bị khai thác một cách chủ động ít nhất từ 18/7/2025.
CrushFTP là phần mềm máy chủ được nhiều tổ chức sử dụng để truyền và quản lý tệp qua các giao thức như FTP, SFTP, HTTP/S, nhờ tính linh hoạt và khả năng bảo mật cao. Tuy nhiên, theo cảnh báo từ chính nhà phát triển CrushFTP, một lỗ hổng trong giao thức AS2 khi xử lý qua HTTP(S) đã vô tình mở ra cơ hội cho tin tặc chiếm quyền điều khiển máy chủ mà không cần xác thực. Dù lỗ hổng này từng được vá gián tiếp trong một bản cập nhật vào đầu tháng 7, kẻ tấn công được cho là đã đảo ngược mã nguồn và tìm ra cách khai thác cụ thể từ sự thay đổi mã trước đó.
Tin tặc sử dụng lỗ hổng này để chỉnh sửa hoặc tạo mới tài khoản quản trị hệ thống, trong nhiều trường hợp là chỉnh sửa tài khoản mặc định với định dạng không hợp lệ nhưng vẫn hoạt động được. Dấu hiệu nhận diện sớm bao gồm các thay đổi đáng ngờ trong file MainUsers/default/user.XML, như sự xuất hiện của các trường last_logins bất thường hoặc tài khoản admin lạ với tên ngẫu nhiên. Ngoài ra, nhật ký upload/download có thể ghi nhận các hành vi bất thường nếu hệ thống đã bị xâm nhập.
Các phiên bản bị ảnh hưởng là CrushFTP v10 trước 10.8.5 và v11 trước 11.3.4_23, phát hành trước ngày 1/7. Những hệ thống cập nhật đầy đủ hoặc có sử dụng kiến trúc phân tách với DMZ proxy được cho là an toàn hơn,. Tuy nhiên các chuyên gia khuyến cáo rằng DMZ không nên được xem là giải pháp bảo vệ tuyệt đối trong trường hợp này.
Hiện tại chưa có thông tin xác thực rằng dữ liệu đã bị đánh cắp hay mã độc được cài cắm thông qua cuộc tấn công, nhưng việc chiếm được quyền quản trị qua giao diện web mở ra nhiều nguy cơ về rò rỉ dữ liệu, cài mã độc tống tiền hoặc truy cập lâu dài trái phép. Đây là mối lo ngại không mới, đặc biệt khi các hệ thống truyền file doanh nghiệp như MOVEit, GoAnywhere, hay Accellion FTA từng bị khai thác bởi các nhóm ransomware lớn trong những chiến dịch quy mô toàn cầu.
Để phòng tránh và ứng phó, WhiteHat và các chuyên gia bảo mật khuyến nghị các quản trị viên hệ thống cần thực hiện ngay những biện pháp sau:
Lỗ hổng này được định danh là CVE-2025-54309, được đánh giá có mức độ nguy hiểm cao (CVSS 9,0) và đã bị khai thác một cách chủ động ít nhất từ 18/7/2025.
Tin tặc sử dụng lỗ hổng này để chỉnh sửa hoặc tạo mới tài khoản quản trị hệ thống, trong nhiều trường hợp là chỉnh sửa tài khoản mặc định với định dạng không hợp lệ nhưng vẫn hoạt động được. Dấu hiệu nhận diện sớm bao gồm các thay đổi đáng ngờ trong file MainUsers/default/user.XML, như sự xuất hiện của các trường last_logins bất thường hoặc tài khoản admin lạ với tên ngẫu nhiên. Ngoài ra, nhật ký upload/download có thể ghi nhận các hành vi bất thường nếu hệ thống đã bị xâm nhập.
Các phiên bản bị ảnh hưởng là CrushFTP v10 trước 10.8.5 và v11 trước 11.3.4_23, phát hành trước ngày 1/7. Những hệ thống cập nhật đầy đủ hoặc có sử dụng kiến trúc phân tách với DMZ proxy được cho là an toàn hơn,. Tuy nhiên các chuyên gia khuyến cáo rằng DMZ không nên được xem là giải pháp bảo vệ tuyệt đối trong trường hợp này.
Hiện tại chưa có thông tin xác thực rằng dữ liệu đã bị đánh cắp hay mã độc được cài cắm thông qua cuộc tấn công, nhưng việc chiếm được quyền quản trị qua giao diện web mở ra nhiều nguy cơ về rò rỉ dữ liệu, cài mã độc tống tiền hoặc truy cập lâu dài trái phép. Đây là mối lo ngại không mới, đặc biệt khi các hệ thống truyền file doanh nghiệp như MOVEit, GoAnywhere, hay Accellion FTA từng bị khai thác bởi các nhóm ransomware lớn trong những chiến dịch quy mô toàn cầu.
Để phòng tránh và ứng phó, WhiteHat và các chuyên gia bảo mật khuyến nghị các quản trị viên hệ thống cần thực hiện ngay những biện pháp sau:
- Cập nhật phần mềm lên phiên bản CrushFTP v10.8.5_12 hoặc v11.3.4_26 trở lên.
- Rà soát file cấu hình người dùng (default/user.XML) và khôi phục từ bản sao lưu trước ngày 16/7, nếu nghi ngờ bị chỉnh sửa.
- Xóa tài khoản "default", để phần mềm tự tạo lại từ mặc định an toàn.
- Kiểm tra log upload/download để phát hiện hoạt động bất thường.
- Giới hạn truy cập quản trị bằng cách thiết lập whitelist địa chỉ IP tin cậy.
- Cân nhắc triển khai mô hình DMZ, nhưng không nên xem đây là giải pháp duy nhất.
- Kích hoạt tính năng tự động cập nhật phần mềm và theo dõi thông tin cảnh báo bảo mật thường xuyên.
Theo WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview