Autoridades federais de segurança cibernética dos EUA, bem como equipes de resposta a incidentes em empresas cibernéticas, dizem que hackers estão explorando uma vulnerabilidade na popular ferramenta de transferência de arquivos Crush.
Leia também
Espião explorou falha em antivírus da ESET
Eficácia de phishing: IA supera os de Red Teams em 24%
Os avisos aos clientes do CrushFTP, usado por milhares de empresas para enviar e receber dados importantes, aumentaram nas últimas duas semanas, com a Agência de Segurança Cibernética e de Infraestrutura (CISA) confirmando na segunda-feira que o bug está sendo explorado.
O Crush publicou o alerta inicial aos clientes em 21 de março, recomendando a atualização dos sistemas para a versão mais recente. O bug, CVE-2025-31161, foi identificado por pesquisadores do Outpost24.
O Outpost24 entrou em contato com o CrushFTP em 13 de março e pretendia aguardar 90 dias antes de divulgar publicamente a falha, com o objetivo de dar tempo para os clientes aplicarem o patch.
No entanto, outros pesquisadores também encontraram a vulnerabilidade e rapidamente registraram um número CVE próprio, confundindo os defensores e divulgando detalhes técnicos que agora estão sendo explorados por invasores.
Nas duas últimas semanas, defensores confirmaram que a falha está sendo ativamente explorada. Na segunda-feira, a gangue de ransomware Kill afirmou ter “obtido volumes significativos de dados sensíveis” por meio da exploração do CVE-2025-31161 e anunciou que começará a extorquir vítimas imediatamente.
Outpost24 e várias empresas de resposta a incidentes relataram ataques em andamento. A Shadowserver e a Censys identificaram centenas de instâncias de CrushFTP expostas à internet. A CISA estabeleceu o prazo de 28 de abril para que todas as agências federais corrijam essas instâncias.Agora que a falha foi armada, a equipe do CrushFTP enviará novo comunicado aos clientes, reforçando a necessidade de atualização urgente dos sistemas.
A Huntress, que trabalha com resposta a incidentes, relatou exploração ativa da falha em quatro empresas de setores distintos, como marketing, varejo e semicondutores.O CrushFTP se junta à lista de ferramentas de transferência de arquivos visadas por ataques em massa, como já ocorreu anteriormente com Cleo, MOVEit, GoAnywhere e Accellion. Na sexta-feira passada, a fabricante de alimentos WK Kellogg confirmou o roubo de dados de funcionários por meio da ferramenta da Cleo.
