Eksploitasi CrushFTP Peretas Bisa Ambil Alih Akun Admin

Ada kabar buruk dari dunia keamanan siber. Sebuah celah keamanan kritis yang baru ditemukan di perangkat lunak bernama CrushFTP sedang dieksploitasi secara aktif oleh peretas di seluruh dunia.

Celah ini diberi kode CVE-2025-54309 dengan tingkat keparahan CVSS score 9.0 (dari skala 10), yang berarti sangat berbahaya.

Menurut penjelasan di National Vulnerability Database (NVD) milik NIST, masalahnya ada pada CrushFTP versi 10 sebelum 10.8.5 dan versi 11 sebelum 11.3.4_23.

Jika fitur DMZ (Demilitarized Zone) proxy tidak digunakan, CrushFTP salah menangani validasi AS2, sehingga memungkinkan peretas dari jarak jauh mendapatkan akses admin melalui HTTPS.

CrushFTP, dalam pengumumannya, mengatakan mereka pertama kali mendeteksi eksploitasi celah ini (zero-day exploitation) pada 18 Juli 2025, pukul 9 pagi CST. Meskipun begitu, mereka mengakui bahwa celah ini mungkin sudah dimanfaatkan jauh lebih awal.

CrushFTP banyak digunakan di pemerintahan, sektor kesehatan, dan lingkungan perusahaan untuk mengelola transfer file sensitif.

Ini membuat akses administratif menjadi sangat berbahaya. Jika sebuah instance (salinan) CrushFTP disusupi, peretas bisa:

• Mencuri data.
• Menyuntikkan backdoor (akses tersembunyi).
• Masuk lebih jauh ke dalam sistem internal yang bergantung pada server tersebut untuk pertukaran data yang terpercaya.

Tanpa isolasi DMZ, instance yang terekspos menjadi titik kegagalan tunggal yang sangat rentan.

Perusahaan mengatakan bahwa pelaku ancaman yang tidak dikenal di balik aktivitas berbahaya ini berhasil merekayasa ulang kode sumber CrushFTP dan menemukan celah baru ini untuk menargetkan perangkat yang belum diperbarui ke versi terbaru. Diperkirakan CVE-2025-54309 sudah ada di build CrushFTP sebelum 1 Juli.

Tanda-tanda Kompromi (Indicators of Compromise / IoCs)

CrushFTP juga telah merilis beberapa indikator kompromi (tanda-tanda jika server sudah disusupi) yang harus diperiksa:

• Pengguna default memiliki akses admin.
• ID pengguna acak yang panjang dibuat (misalnya, 7a0d26089ac528941bf8cb998d97f408m).
• Nama pengguna baru lainnya dibuat dengan akses admin.
• File “MainUsers/default/user.xml” baru saja dimodifikasi dan memiliki nilai “last_logins” di dalamnya.
• Tombol-tombol dari antarmuka web pengguna akhir menghilang, dan pengguna yang sebelumnya diidentifikasi sebagai pengguna biasa sekarang memiliki tombol Admin.

Tim keamanan yang menyelidiki kemungkinan kompromi harus meninjau waktu modifikasi user.xml, mengkorelasikan event login admin dengan IP publik, dan mengaudit perubahan izin pada folder-folder bernilai tinggi.

Sangat penting juga untuk mencari pola mencurigakan dalam log akses yang terkait dengan pengguna yang baru dibuat atau peningkatan peran admin yang tidak dapat dijelaskan, yang merupakan tanda khas perilaku pasca-eksploitasi dalam skenario pelanggaran dunia nyata.

Saran Mitigasi (Pencegahan dan Perbaikan)

Sebagai mitigasi, CrushFTP merekomendasikan agar pengguna:

1. Kembalikan pengguna default sebelumnya dari folder backup.
2. Tinjau laporan unggahan/unduhan untuk mencari tanda-tanda transfer yang mencurigakan.
3. Batasi alamat IP yang digunakan untuk tindakan administratif.
4. Izinkan hanya IP tertentu (Allowlist IPs) yang dapat terhubung ke server CrushFTP.
5. Ganti ke instance CrushFTP DMZ untuk penggunaan perusahaan.
6. Pastikan pembaruan otomatis diaktifkan.

Pada tahap ini, sifat pasti dari serangan yang mengeksploitasi celah tersebut belum diketahui sepenuhnya.

Sebelumnya pada April lalu, cacat keamanan lain dalam solusi yang sama (CVE-2025-31161, CVSS score: 9.8) juga dimanfaatkan untuk mengirimkan agen MeshCentral dan malware lainnya.

Tahun lalu, juga terungkap bahwa kerentanan kritis kedua yang memengaruhi CrushFTP (CVE-2024-4040, CVSS score: 9.8) dimanfaatkan oleh pelaku ancaman untuk menargetkan banyak entitas di AS.

Dengan beberapa CVE tingkat keparahan tinggi yang dieksploitasi selama setahun terakhir, CrushFTP telah muncul sebagai target berulang dalam kampanye ancaman lanjutan.

Saran Keamanan Tambahan yang Relevan

Melihat pola serangan yang terus-menerus terhadap CrushFTP dan sifat malware yang semakin canggih, penting bagi organisasi dan individu untuk mengambil langkah-langkah proaktif:

1. Prioritaskan Pembaruan (Patching) Segera: Ini adalah langkah paling krusial. Begitu pembaruan (patch) untuk CVE-2025-54309 tersedia dari CrushFTP, segera terapkan tanpa menunda. Pastikan sistem Anda selalu diperbarui.
2. Lakukan Audit Keamanan Rutin: Periksa secara berkala log akses, aktivitas pengguna, dan konfigurasi sistem. Cari aktivitas yang tidak biasa, pembuatan akun baru yang tidak sah, atau perubahan izin.
3. Implementasikan Prinsip Least Privilege: Pastikan setiap pengguna, termasuk akun default atau akun sistem, hanya memiliki izin minimum yang diperlukan untuk menjalankan tugasnya. Jangan berikan akses admin jika tidak benar-benar dibutuhkan.
4. Terapkan Isolasi Jaringan yang Kuat: Gunakan DMZ (Demilitarized Zone) untuk server yang menghadap internet. Ini akan memisahkan server tersebut dari jaringan internal yang lebih sensitif, sehingga jika server eksternal disusupi, penyerang tidak langsung bisa masuk ke seluruh jaringan.
5. Gunakan Multi-Factor Authentication (MFA): Aktifkan MFA untuk semua akun yang memiliki akses ke server atau sistem penting. Ini akan menambahkan lapisan keamanan ekstra, bahkan jika kredensial berhasil dicuri.
6. Miliki Rencana Respons Insiden: Siapkan rencana yang jelas tentang apa yang harus dilakukan jika terjadi serangan siber. Ini termasuk langkah-langkah deteksi, penahanan, pemberantasan, dan pemulihan.
7. Edukasi Karyawan: Latih karyawan tentang bahaya phishing, rekayasa sosial, dan pentingnya praktik keamanan siber yang baik. Kesalahan manusia sering menjadi titik masuk awal bagi peretas.
8. Pantau Indikator Kompromi (IoCs): Gunakan IoCs yang disediakan oleh vendor keamanan untuk memindai sistem Anda. Jika ada kecocokan, segera lakukan investigasi mendalam.
9. Tinjau Ketergantungan pada Pihak Ketiga: Jika Anda menggunakan layanan atau perangkat lunak dari pihak ketiga (seperti CrushFTP), pahami risiko keamanannya dan pantau terus pengumuman kerentanan dari vendor tersebut.

Dengan adopsi praktik keamanan yang komprehensif dan respons yang cepat terhadap ancaman yang muncul, organisasi dapat secara signifikan mengurangi risiko menjadi korban dari serangan siber yang canggih.

Sumber berita:

Prosperita IT News