CrushFTP alvo de falha zero-day ativamente explorada

Os administradores do programa de transferência de ficheiros CrushFTP encontram-se a alertar os utilizadores para uma vulnerabilidade grave, descoberta recentemente no programa.

A falha, considerada como zero-day, encontra-se a ser ativamente explorada para ataques, e permite aos atacantes obterem acesso aos ficheiros do sistema onde a aplicação se encontra, escapando do ambiente virtual fechado do mesmo.

Esta falha foi descoberta no dia 19 de Abril, e embora a equipa de desenvolvimento do CrushFTP tenha corrigido imediatamente a mesma, ainda existem instâncias de servidores com versões desatualizadas – e a falha encontra-se ativamente a ser explorada para ataques.

Ao mesmo tempo, a falha pode ser explorada também por utilizadores não autenticados no CrushFTP, usando a interface web do mesmo. Os utilizadores que ainda se encontrem a usar versões antigas do CrushFTP v9 são aconselhados a atualizarem rapidamente os seus sistemas para uma versão mais recente, via o dashboard do programa.

De acordo com os dados do portal Shodan, existem atualmente mais de 2700 servidores com esta aplicação acessível publicamente na internet.