🧾 Résumé
Une vulnérabilité critique affecte les versions antérieures à CrushFTP 10.7.1. Elle permet à un attaquant non authentifié d’accéder à l’interface web d’administration et d’obtenir les droits administrateur complets, facilitant ainsi la prise de contrôle totale du serveur et l’exfiltration de données.
Cette vulnérabilité est activement exploitée dans des attaques ciblées.
🧨 Identifiant
- CVE : CVE-2025-54309
- Date de publication : 18 juillet 2025
- Type : Zero-day – Privilège non autorisé – RCE indirect
- Score CVSS estimé : 9.8 à 10.0 (Critique)
📦 Produits affectés
- CrushFTP toutes versions < 10.7.1
- Plateformes concernées : Windows, Linux, macOS
💥 Impact
| Élément | Détail |
|---|---|
| Accès non authentifié | Oui |
| Élévation de privilèges | Oui – accès admin |
| Impact sur la confidentialité | Total – accès à tous les fichiers |
| Impact sur l’intégrité | Total – modification des fichiers, des configs |
| Impact sur la disponibilité | Potentiel – possibilité de sabotage |
| Persistance possible | Oui – création de comptes backdoor |
| Exploitation active | ✅ Oui (campagnes ciblées détectées) |
🎯 Vecteur d’attaque
- Interface web d’administration exposée sur Internet.
- Aucune authentification nécessaire pour initialiser l’attaque.
- Exploitable à distance sans interaction utilisateur.
🛡️ Mesures de remédiation
- Mettre à jour immédiatement vers CrushFTP 10.7.1 ou plus.
🔗 Patch officiel - Restreindre l’accès à l’interface web d’administration (filtrage IP, VPN, bastion).
- Changer tous les mots de passe administrateurs.
- Auditer les connexions passées et rechercher tout comportement suspect.
- Supprimer tout compte non autorisé ou persistance créée par un attaquant.
🧠 Conseils complémentaires
- Ne jamais exposer l’interface d’administration à Internet sans couche de protection.
- Mettre en place une surveillance des logs applicatifs et système (SIEM, EDR).
- Intégrer CrushFTP dans votre cartographie des services critiques à surveiller.
📌 Références
📊 Synthèse SecuSlice
CVE-2025-54309 coche toutes les cases d’une faille « catastrophe » : accessible via internet, sans login, et exploitable à distance. Si vous utilisez CrushFTP, vous êtes probablement déjà exposé. Corrigez immédiatement, auditez, et cloisonnez.
