在网上暴露的超过 1000 个 CrushFTP 实例易受劫持攻击的威胁，这些攻击利用了一个严重的安全漏洞，提供对网页界面的管理员访问权限。

该安全漏洞（CVE-2025-54309）是由于错误处理 AS2 验证，并影响 10.8.5 和 11.3.4_23 以下的所有 CrushFTP 版本。该供应商在 7 月 19 日将该漏洞标记为在野外被积极利用，并指出攻击可能更早开始，尽管它尚未找到证据来证实这一点。

7 月 18 日上午 9 点，CrushFTP 在野外发现了一个 0day 漏洞。它可能持续了更长的时间。黑客显然对其代码进行了逆向工程，发现了一些 CrushFTP 已经修复的 bug。

但 CrushFTP 最近表示，保持最新状态的服务器不容易受到攻击，并指出使用非军事区（DMZ）实例隔离其主服务器的客户不会受到此漏洞的影响。

该公司还建议审查上传和下载日志中的异常活动，以及启用自动更新和服务器和管理访问的白名单 ip，以进一步减少利用企图。

根据安全威胁监控平台 Shadowserver 的扫描，大约有 1040 个 CrushFTP 实例仍然没有针对 CVE-2025-54309 打补丁，很容易受到攻击。

ShadowServer 通知 CrushFTP 客户，他们的服务器不受正在进行的 CVE-2025-54309 攻击的保护，将其内容暴露给数据盗窃企图。

虽然目前还不清楚这些正在进行的攻击是部署恶意软件还是用于窃取数据，但近年来，像 CrushFTP 这样的托管文件传输解决方案一直是勒索软件团伙的高价值目标。仅 Clop 网络犯罪团伙就与针对 Accelion FTA、GoAnywhere MFT、MOVEit Transfer 以及最近的 Cleo 软件的零日漏洞的多次数据盗窃活动有关。

据悉，2024 年 4 月，CrushFTP 还修补了一个被积极利用的零日漏洞（追踪为 CVE-2024-4040），该漏洞允许未经身份验证的攻击者逃离用户的虚拟文件系统（VFS）并下载系统文件。

当时，网络安全公司 CrowdStrike 发现有证据表明，针对多个美国组织的 CrushFTP 实例的攻击可能出于政治动机，主要目的是收集情报。