AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Grave vulnerabilidad zero-day en CrushFTP: ciberdelincuentes obtienen control administrativo remoto**

admin

### Introducción

CrushFTP, una solución ampliamente utilizada para la transferencia segura de archivos en entornos empresariales, ha emitido una alerta crítica tras descubrir la explotación activa de una vulnerabilidad zero-day, identificada como CVE-2025-54309. Esta brecha permite a actores maliciosos obtener acceso administrativo a través de la interfaz web, comprometiendo la integridad de los servidores afectados. El incidente pone en jaque la seguridad de infraestructuras que dependen de CrushFTP para la gestión y el intercambio de información sensible.

### Contexto del Incidente

El pasado 10 de junio de 2024, el equipo de seguridad de CrushFTP divulgó que múltiples clientes habían detectado actividades anómalas en sus sistemas, coincidiendo con la explotación de una vulnerabilidad previamente desconocida. Esta vulnerabilidad afecta a las versiones 10.x y 11.x del software, ampliamente desplegadas en entornos corporativos y organizaciones gubernamentales para la transferencia y almacenamiento seguro de grandes volúmenes de datos.

El incidente se produce en un contexto de aumento de ataques dirigidos a plataformas de transferencia de archivos, como ya sucedió en 2023 con el caso MOVEit, lo que subraya la creciente atención de los grupos de amenazas a estos sistemas críticos.

### Detalles Técnicos

**Identificador de vulnerabilidad**: CVE-2025-54309
**Software afectado**: CrushFTP versiones 10.x a 11.x (todas las subversiones anteriores a la actualización de junio de 2024)

#### Vector de ataque

La vulnerabilidad reside en la validación de autenticación de la interfaz web administrativa. Mediante la manipulación de peticiones HTTP específicamente diseñadas, un atacante remoto no autenticado puede evadir los controles de acceso y obtener privilegios administrativos completos.

Los análisis preliminares indican que el exploit aprovecha una debilidad en el manejo de tokens de sesión y la gestión de permisos, permitiendo la elevación de privilegios y el acceso a funciones críticas del sistema, incluidas configuraciones, usuarios y transferencias activas.

#### TTP según MITRE ATT&CK

– **ID Tactic**: TA0001 (Initial Access)
– **Technique**: T1190 (Exploit Public-Facing Application)
– **Privilege Escalation**: T1068 (Exploitation for Privilege Escalation)
– **Command and Control**: T1071 (Web Protocols)

#### Indicadores de Compromiso (IoC)

– Accesos administrativos no autorizados desde direcciones IP inusuales.
– Modificación de configuraciones de usuarios y políticas de transferencia.
– Creación de cuentas administrativas sin autorización.
– Peticiones HTTP anómalas hacia `/WebInterface/login` y `/WebInterface/admin`.

Aunque no se han publicado públicamente pruebas de concepto (PoC), ya se han identificado muestras de exploits funcionales en canales privados y foros de hacking, y se espera su integración en frameworks como Metasploit en breve.

### Impacto y Riesgos

El impacto potencial de CVE-2025-54309 es elevado. Los sistemas comprometidos permiten a los atacantes:

– Exfiltrar información confidencial y archivos transferidos.
– Modificar o eliminar datos almacenados.
– Desplegar puertas traseras y malware adicional.
– Interrumpir procesos de negocio críticos asociados a la transferencia de archivos.

Según estimaciones preliminares, existen más de 3.000 servidores CrushFTP expuestos en Internet, siendo Europa y Norteamérica las regiones más afectadas. El coste medio de un incidente de estas características puede superar los 250.000 euros, considerando tanto la interrupción del servicio como las sanciones regulatorias derivadas de la GDPR o la directiva NIS2.

### Medidas de Mitigación y Recomendaciones

El equipo de CrushFTP ha publicado parches de emergencia para las versiones 10.x y 11.x. Se recomienda a los administradores:

1. **Actualizar inmediatamente** a la última versión disponible, publicada el 11 de junio de 2024.
2. Revisar los logs de acceso y administración en busca de actividad sospechosa desde el 1 de junio de 2024.
3. Restringir el acceso a la interfaz web administrativa mediante listas blancas de IP, VPN o autenticación multifactor.
4. Cambiar todas las contraseñas de cuentas administrativas y validar la integridad de los archivos y configuraciones.
5. Implementar soluciones de monitorización y detección de intrusiones para identificar futuros intentos de explotación.

### Opinión de Expertos

Carlos Jiménez, analista senior de amenazas en una conocida consultora europea, apunta: «La rápida explotación de esta vulnerabilidad demuestra que los atacantes monitorizan activamente las plataformas críticas de transferencia de archivos. La exposición pública de interfaces administrativas sigue siendo una mala práctica que agrava el potencial de impacto de fallos como este».

Por su parte, Lucía García, CISO de una empresa del sector financiero, añade: «La obligación de notificación conforme a la GDPR y NIS2 implica que, ante la menor sospecha de acceso no autorizado a datos personales, se debe proceder a informar a las autoridades y a los afectados en plazos muy reducidos».

### Implicaciones para Empresas y Usuarios

La explotación de CVE-2025-54309 no solo pone en peligro los datos corporativos, sino que expone a las organizaciones a sanciones regulatorias y pérdida de confianza de clientes. Es fundamental que los responsables de seguridad revisen su inventario de activos, refuercen los controles de acceso y mantengan al día sus sistemas críticos.

Para las empresas sujetas a la NIS2 y la GDPR, el incidente subraya la importancia de las auditorías periódicas y la gestión proactiva de vulnerabilidades. La falta de actuación rápida podría derivar en multas de hasta el 4% de la facturación anual global.

### Conclusiones

La vulnerabilidad zero-day CVE-2025-54309 en CrushFTP representa una amenaza significativa para las infraestructuras de transferencia de archivos. La explotación activa y la criticidad de los datos gestionados obligan a las organizaciones a priorizar la actualización y la revisión de sus sistemas. La ciberseguridad en plataformas de transferencia de archivos seguirá siendo un vector prioritario para los atacantes y exige una vigilancia continua por parte de los equipos de seguridad.

(Fuente: www.bleepingcomputer.com)