เมื่อวันที่ 18 กรกฎาคม 2025 CrushFTP ได้เปิดเผยการโจมตีช่องโหว่แบบ Zero-Day ที่กำลังเกิดขึ้นจริง โดยอาศัยช่องโหว่ร้ายแรงหมายเลข CVE-2025-54309 ซึ่งมีคะแนนความรุนแรง CVSS สูงถึง 9.0 ช่องโหว่นี้เกิดจากการจัดการตรวจสอบ AS2 ที่ไม่เหมาะสมในฟีเจอร์ DMZ Proxy ที่ถูกปิดใช้งาน ทำให้ผู้ไม่หวังดีสามารถเข้าถึงสิทธิ์แอดมินผ่านโปรโตคอล HTTPS ได้ ช่องโหว่นี้ส่งผลกระทบต่อ CrushFTP เวอร์ชัน 10 ก่อน 10.8.5 และเวอร์ชัน 11 ก่อน 11.3.4_23
โดย CrushFTP ยอมรับว่าโค้ดของตนเคยแก้ไขปัญหาที่เกี่ยวข้องก่อนหน้านี้ แต่ผู้โจมตีสามารถย้อนรอยการเปลี่ยนแปลงดังกล่าวและพบวิธีใช้งานช่องโหว่เดิมที่ยังไม่ถูกปิดอย่างสมบูรณ์
CrushFTP ถูกใช้อย่างแพร่หลายในหน่วยงานรัฐบาล ภาคสาธารณสุข และองค์กรขนาดใหญ่ ในการถ่ายโอนไฟล์ที่มีข้อมูลอ่อนไหว ซึ่งหากผู้โจมตีสามารถเข้าถึงสิทธิ์แอดมินได้ อาจนำไปสู่การขโมยข้อมูล ฝังแบ็กดอร์ หรือเจาะลึกเข้าสู่ระบบภายในที่เชื่อมต่อกับเซิร์ฟเวอร์ CrushFTP โดยไม่มีระบบแยก DMZ มาเป็นเกราะป้องกัน ช่องโหว่นี้เชื่อว่ามีอยู่ในชุดซอฟต์แวร์ก่อนวันที่ 1 กรกฎาคม 2025 และผู้ไม่หวังดีที่ไม่เปิดเผยตัวตนได้ทำ reverse engineer ซอร์สโค้ดจนพบวิธีเจาะระบบในอุปกรณ์ที่ยังไม่อัปเดต แสดงถึงการโจมตีที่มีความซับซ้อนสูง
CrushFTP แนะนำให้องค์กรตรวจสอบการเปลี่ยนแปลงไฟล์ user.xml ในพาธ MainUsers/default/ รวมถึงกิจกรรมการเข้าสู่ระบบของผู้ใช้ที่มีสิทธิ์แอดมินใหม่ ตรวจสอบชื่อผู้ใช้ที่ดูผิดปกติ และเหตุการณ์ที่สิทธิ์ผู้ใช้งานถูกเปลี่ยนโดยไม่ทราบสาเหตุ ซึ่งอาจเป็นสัญญาณของการเจาะระบบหลังสำเร็จ นอกจากนี้ ควรรีสโตร์ผู้ใช้เริ่มต้นจากข้อมูลสำรอง จำกัด IP สำหรับการเข้าถึงในระดับแอดมิน ใช้งานเฉพาะ CrushFTP ผ่าน DMZ และเปิดระบบอัปเดตอัตโนมัติ โดยก่อนหน้านี้ในเดือนเมษายน ช่องโหว่อื่น (CVE-2025-31161) ก็เคยถูกใช้แพร่มัลแวร์ผ่าน CrushFTP และในปี 2024 ยังมีอีกช่องโหว่ (CVE-2024-4040) ที่ถูกใช้โจมตีหน่วยงานในสหรัฐฯ จึงควรถือว่าซอฟต์แวร์นี้เป็นเป้าหมายซ้ำซากในการโจมตีขั้นสูง และเร่งประเมินความเสี่ยงโดยด่วน
แหล่งข่าว https://thehackernews.com/2025/07/hackers-exploit-critical-crushftp-flaw.html
ที่มา thaicert / วันที่เผยแพร่ 22 กรกฎาคม 2568
Link : https://www.thaicert.or.th/2025/07/22/แฮกเกอร์ใช้ประโยชน์จาก-5/
