Bir veri aktarımı yazılımı olan Crushftp'de ciddi bir güvenlik açığı keşfedildi. Yetkisiz Erişim Ağı saldırganlarına izin verir. Boşluğu doldurmak için güncellemeler hazır.
Zayıf nokta CVE'nin Güvenlik Crushftp kaybına girişinde, sadece kısa bir açıklama vardır: 10.0.0 ila 10.8.3 ve 11.0.0 ila 11.3.0 sürümlerinde crushftp, yetkisiz erişime yol açabilecek zayıf bir noktadan etkilenir. Crushftp ağından kimlik doğrulaması yapmadan HTTP istekleri, saldırganların yetkisiz erişim elde etmesine izin verir (CVE-2025-2825, CVSS 9.8Risk “eleştirmen“).
Daha ayrıntılı detay yok
Ancak, üretici daha ayrıntılı bilgi sağlamaz. Crushftp Tazeleme web sitesinde de az eklemeler var. Zayıf nokta, “sorumlu bir yayılma” nın bir parçası olarak bildirilmiştir. Vahşi doğada da saldırı yok. DMZ işlevi crushftp'de kullanılırsa, yazılım savunmasız değildir.
Şirket, yöneticileri 10.8.4 ve 11.3.1 veya daha yakın sürümleri güncellemeye zorlar. Bunun için, Crushftp 11.2.3_19'dan dosya dosyasında manuel öğe ile bulunan ve “Daily_check_auto_update_on_idle” olan ayarlarda otomatik güncellemeler için bir seçenek vardır. Ancak, pencerelerin altında bir hata olabilir. BT yöneticileri ayrıca Crushftp-Comsta'nın indirme sayfasında güncellenen yazılım paketlerini de bulabilirler.
Bilgisayar suçluları, sıkıştırılmış şirketlere şantaj yapmanın mümkün olduğu hassas bilgiler alabileceğiniz için veri transfer yazılımına ilgi gösterir. Örneğin, Cybergang CL0P, bazen bu yazılım (hareket aktarımı) aracılığıyla iyi bilinen ve onlardan para sıkmaya çalışan yüzlerce şirketten verileri düşürmüştü.
Crushftp, güvenlik boşluklarına saldırmaya çalışan malign aktörler listesinde. Nisan ayının sonunda, BT güvenlik araştırmacıları veri transfer yazılımında zayıf bir noktada saldırılar gözlemlediler. Almanya'da internet tarafından yüzlerce yazılıma ulaşılabilir.
(DMK)
Zayıf nokta CVE'nin Güvenlik Crushftp kaybına girişinde, sadece kısa bir açıklama vardır: 10.0.0 ila 10.8.3 ve 11.0.0 ila 11.3.0 sürümlerinde crushftp, yetkisiz erişime yol açabilecek zayıf bir noktadan etkilenir. Crushftp ağından kimlik doğrulaması yapmadan HTTP istekleri, saldırganların yetkisiz erişim elde etmesine izin verir (CVE-2025-2825, CVSS 9.8Risk “eleştirmen“).
Daha ayrıntılı detay yok
Ancak, üretici daha ayrıntılı bilgi sağlamaz. Crushftp Tazeleme web sitesinde de az eklemeler var. Zayıf nokta, “sorumlu bir yayılma” nın bir parçası olarak bildirilmiştir. Vahşi doğada da saldırı yok. DMZ işlevi crushftp'de kullanılırsa, yazılım savunmasız değildir.
Şirket, yöneticileri 10.8.4 ve 11.3.1 veya daha yakın sürümleri güncellemeye zorlar. Bunun için, Crushftp 11.2.3_19'dan dosya dosyasında manuel öğe ile bulunan ve “Daily_check_auto_update_on_idle” olan ayarlarda otomatik güncellemeler için bir seçenek vardır. Ancak, pencerelerin altında bir hata olabilir. BT yöneticileri ayrıca Crushftp-Comsta'nın indirme sayfasında güncellenen yazılım paketlerini de bulabilirler.
Bilgisayar suçluları, sıkıştırılmış şirketlere şantaj yapmanın mümkün olduğu hassas bilgiler alabileceğiniz için veri transfer yazılımına ilgi gösterir. Örneğin, Cybergang CL0P, bazen bu yazılım (hareket aktarımı) aracılığıyla iyi bilinen ve onlardan para sıkmaya çalışan yüzlerce şirketten verileri düşürmüştü.
Crushftp, güvenlik boşluklarına saldırmaya çalışan malign aktörler listesinde. Nisan ayının sonunda, BT güvenlik araştırmacıları veri transfer yazılımında zayıf bir noktada saldırılar gözlemlediler. Almanya'da internet tarafından yüzlerce yazılıma ulaşılabilir.
(DMK)