Popüler dosya transfer yazılımı CrushFTP’deki kritik güvenlik açığıyla ilgili CVE numarası tartışma yarattı.
Dosya transfer çözümleri arasında yaygın olarak kullanılan CrushFTP’nin CEO’su Ben Spink, geçtiğimiz günlerde açıklanan kritik bir güvenlik açığına ilişkin VulnCheck tarafından yayımlanan CVE-2025-2825 numaralı güvenlik koduna karşı sert tepki gösterdi.
Olayın Arka Planı: Kritik Açık, Ancak Resmi CVE Hâlâ Yok
21 Mart 2025 tarihinde CrushFTP, müşterilerine gönderdiği bir e-postayla acilen yama yapılması gereken kritik bir güvenlik açığı olduğunu duyurdu. Şirket, en kısa sürede bir CVE (Common Vulnerabilities and Exposures) numarası yayımlayacağını belirtmişti. Ancak aradan altı gün geçmesine rağmen CrushFTP tarafından resmi bir CVE yayımlanmadı.
Bu süreçte, güvenlik firması VulnCheck, açıkla ilgili değerlendirmelerde bulunarak CVE-2025-2825 numarasını atadı ve açığın 9.8 puanla kritik seviyede olduğunu belirtti.
CrushFTP CEO’sundan Sert Yanıt: “Siz Bu Açığı Bilmiyorsunuz”
CrushFTP CEO’su Ben Spink, VulnCheck CTO’su Jacob Baines’e gönderdiği e-postada şu ifadeleri kullandı:
“Bu güvenlik açığı hakkında hiçbir bilginiz yok. Sizin CVE’niz kopya olarak silinecek. Bu açığı siz keşfetmediniz. Gerçek CVE yakında yayımlanacak. Sahte girdinizi gönüllü olarak kaldırmazsanız itibarınız zedelenir.”
“Gerçek CVE çıktığında, ne kadar bilgi sahibi olmadığınız net şekilde anlaşılacak. Bu arada lütfen şunu dikkate alın: Eski sürümler güvensiz. En az CrushFTP v10.8.4 veya v11.3.1 sürümünü kullanmalısınız.”
Güvenlik Açığının Detayları ve Tehlikesi
VulnCheck tarafından yapılan teknik analizde, açığın kimlik doğrulama gerektirmeyen, düşük karmaşıklıkta bir HTTP isteğiyle sunuculara erişim sağlanmasına neden olduğu bildirildi. Bu tür açıklar, özellikle fidye yazılımı grupları tarafından oldukça cazip hedeflerdir.
Aynı tür saldırılar geçmişte MOVEit, GoAnywhere, Cleo ve Accellion FTA gibi yüksek profilli dosya transfer sistemlerini de hedef almıştı.
CrushFTP Daha Önce de CVE Yayınlamamıştı
CrushFTP’nin Nisan 2024’te ortaya çıkan başka bir kritik açığı için de CVE yayımlamadığı, bu nedenle CVE-2024-4040 numarasının yine üçüncü taraf bir kuruluş tarafından atandığı belirtildi. Bu açık, Rapid7 tarafından “kolayca istismar edilebilir” olarak nitelendirildi ve saldırganlara sunucularda tam yönetici erişimi sağladığı bildirildi.
CrushFTP Kimleri Etkiliyor?
CrushFTP, kamuya açık müşteri listesi yayımlamasa da, Fortune 100 şirketleri dahil olmak üzere çok sayıda yüksek profilli kuruluşa hizmet verdiğini belirtiyor. Bu durum, yazılımın hedef haline gelme riskini artırıyor.
Sonuç: CVE Süreci Şeffaf Olmalı
CVE numaralarının zamanında yayımlanması, sistem yöneticilerinin ve güvenlik uzmanlarının açıkları takip etmesi ve önlem alması açısından hayati önem taşır. Bu sürecin gecikmesi, hem güvenlik zafiyetine hem de bilgi kirliliğine neden olabilir.
Anahtar Kelimeler:
CrushFTP güvenlik açığı, CVE-2025-2825, VulnCheck, dosya transfer yazılımı güvenliği, Ben Spink, Rapid7, kritik açık, fidye yazılımı saldırıları, CVE nedir, güvenlik açığı bildirimi, siber güvenlik haberleri
Hata!
Yorumunuz Çok Kısa, Yorum yapabilmek için en az En az 10 karakter gerekli