هشدار آژانس امنیت سایبری آمریکا درباره حمله از طریق ابزار انتقال فایل کراش

به گزارش کارگروه بین الملل خبرگزاری سایبربان، این هشدارها در هفته‌های اخیر افزایش یافته است.

این ابزار که توسط هزاران شرکت برای ارسال و دریافت داده‌های مهم استفاده می‌شود، در معرض یک نقص امنیتی خطرناک قرار گرفته که به‌تازگی تأیید شده و توسط آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) در حال بهره‌برداری است.

شرکت کراش اف تی پی (CrushFTP) در تاریخ ۲۱ مارس مشتریان خود را مطلع کرده و از آن‌ها خواست که نرم‌افزار خود را به نسخه جدید به‌روزرسانی کنند.

این آسیب‌پذیری با شناسه CVE-2025-31161، توسط پژوهشگران شرکت اوت پست 24 (Outpost24) شناسایی شده است.

اوت پست 24 ابتدا در تاریخ ۱۳ مارس این آسیب‌پذیری را به کراش اف تی پی گزارش داد و قصد داشت تا ۹۰ روز برای انتشار عمومی آن صبر کند تا به مشتریان فرصت دهند که نرم‌افزار خود را بروزرسانی کنند.

اما پژوهشگران دیگری نیز به این آسیب‌پذیری پی بردند و با ثبت شماره CVE جداگانه و انتشار جزئیات فنی، روند سوءاستفاده مهاجمان را تسریع کردند.

سخنگوی کراش اف تی پی بیان کرد:

آسیب‌پذیری به‌طور مسئولانه توسط اوت پست 24 گزارش شده بود، اما شخصی دیگر، ظاهراً برای جلب توجه، توانست تغییرات ما را مهندسی معکوس کند و با افشای عمومی روش سوءاستفاده از آسیب‌پذیری، اعتبار آن را به نام خود ثبت کند. تنها چیزی که آن‌ها به آن رسیدند، سلاح‌سازی این آسیب‌پذیری پیش از آن بود که مشتریان ما بتوانند سیستم‌هایشان را به‌روز کنند. ما هر کاری توانستیم برای تشویق کاربران به آپدیت انجام دادیم و همه اعضای فهرست امنیتی ما مطلع شدند.

در دو هفته گذشته، هشدارهایی درباره بهره‌برداری فعال از این باگ منتشر شده و روز دوشنبه، گروه باج‌افزاری کیل (Kill) ادعا کرد که با سوءاستفاده از CVE-2025-31161 به حجم قابل توجهی از داده‌های حساس دست یافته و قصد دارد فوراً فرایند اخاذی از قربانیان را آغاز کند.

اوت پست 24 و چندین شرکت واکنش به حادثه تأیید کردند که سازمان‌ها در حال حاضر مورد حمله از طریق این باگ قرار گرفته‌اند.

دو نهاد امنیتی شادو سرور (Shadowserver) و سنسیس (Censys) نیز گزارش دادند که صدها نسخه آسیب‌پذیر از کراش اف تی پی در اینترنت قابل شناسایی هستند.

آژانس امنیت سایبری و امنیت زیرساخت نیز به آژانس‌های فدرال تا ۲۸ آوریل فرصت داده تا همه نسخه‌های کراش اف تی پی خود را به‌روزرسانی کنند.

سخنگوی کراش اف تی پی اعلام کرد که با سلاح‌سازی این آسیب‌پذیری، ایمیل جدیدی برای تأکید بر اهمیت آپدیت به مشتریان ارسال خواهد شد و اظهار کرد:

اوت پست 24 در انتشار عمومی این نقص تأخیر انداخت تا به مشتریان فرصت دهد، اما اکنون دقیقاً همان چیزی رخ داده که می‌خواستند از آن جلوگیری کنند. هر کسی که هنوز بروزرسانی نکرده، باید فوراً اقدام کند. تمام نسخه‌های اخیر v10 و همه نسخه‌های v11 تحت تأثیر این نقص قرار دارند.

او همچنین افزود که روش‌های جایگزینی برای کاهش خطر این آسیب‌پذیری وجود دارد که در اسکن‌های اینترنتی نمایان نمی‌شوند و ممکن است آمار نسخه‌های وصله‌نشده را در گزارش‌های شادو سرور و سنسیس دچار انحراف کند.

کارشناسان شرکت هانترس (Huntress) اعلام کردند که در چهار شرکت از صنایع مختلف مانند بازاریابی، خرده‌فروشی و نیمه‌هادی‌ها، موارد سوءاستفاده واقعی از این آسیب‌پذیری را مشاهده کرده‌اند.

کراش اف تی پی جدیدترین ابزار انتقال فایل است که پس از حملات گسترده به ابزارهایی مانند کلئو (Cleo)، موو ایت (MOVEit)، گو انی ور (GoAnywhere) و اکسلیون (Accellion) هدف بهره‌برداری قرار گرفته است.

هفته گذشته نیز شرکت غذایی بزرگ آمریکایی دابلیو کی کلاگ (WK Kellogg) تأیید کرد که اطلاعات کارکنانش از طریق ابزار انتقال فایل کلئو سرقت شده است.