Cacat keamanan kritis yang baru -baru ini diungkapkan yang berdampak pada CrushFTP telah ditambahkan oleh Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) ke katalog kerentanan yang diketahui dieksploitasi (KEV) setelah laporan muncul eksploitasi aktif di alam liar.
Kerentanan adalah kasus bypass otentikasi yang dapat memungkinkan penyerang yang tidak aautentikasi untuk mengambil alih contoh yang rentan. Telah diperbaiki dalam versi 10.8.4 dan 11.3.1.
“Crushftp berisi kerentanan bypass otentikasi di header otorisasi HTTP yang memungkinkan penyerang jarak jauh yang tidak terau otentikasi untuk mengotentikasi ke akun pengguna yang diketahui atau ditebak (misalnya, crushadmin), yang berpotensi mengarah ke kompromi penuh,” kata Cisa dalam penasihat.
Kekurangan telah diberikan pengidentifikasi CVE CVE-2025-31161 (skor CVSS: 9.8). Perlu mencatat bahwa kerentanan yang sama sebelumnya dilacak sebagai CVE-2025-2825, yang sekarang telah ditandai ditolak dalam daftar CVE.
Perkembangan terjadi setelah proses pengungkapan yang terkait dengan cacat telah terjerat dalam kontroversi dan kebingungan, dengan Vulncheck-karena itu adalah otoritas penomoran CVE (CNA)-ditugaskan pengidentifikasi (yaitu, CVE-2025-2825), sedangkan CVE yang sebenarnya (IE, CVE-2025-31161) telah ditekan.
Outpost24, yang dikreditkan dengan secara bertanggung jawab mengungkapkan cacat kepada vendor, telah melangkah untuk mengklarifikasi bahwa mereka meminta nomor CVE dari Mitre pada 13 Maret 2025, dan bahwa itu berkoordinasi dengan CrushFTP untuk memastikan bahwa perbaikan diluncurkan dalam periode pengungkapan 90 hari.
Namun, baru pada tanggal 27 Maret, Mitre menetapkan cacat CVE CVE-2025-31161, pada saat itu Vulncheck telah merilis CVE sendiri tanpa menghubungi “Crushftp atau Outpost24 sebelumnya untuk melihat apakah proses pengungkapan yang bertanggung jawab sudah berlangsung.”
Perusahaan Cybersecurity Swedia sejak itu merilis instruksi langkah demi langkah untuk memicu eksploitasi tanpa berbagi banyak spesifik teknis-
- Menghasilkan token sesi alfanumerik acak dari minimum 31 karakter panjangnya
- Atur cookie yang disebut crushAuth ke nilai yang dihasilkan pada langkah 1
- Atur cookie yang disebut CurrentAuth ke 4 karakter terakhir dari nilai yang dihasilkan pada Langkah 1
- Lakukan permintaan HTTP Get ke target/webinterface/fungsi/dengan cookie dari Langkah 2 dan 3, serta header otorisasi yang diatur ke “AWS4-HMAC =
/,” Di mana adalah pengguna yang akan masuk sebagai (misalnya, crushadmin)
Hasil bersih dari tindakan ini adalah bahwa sesi yang dihasilkan pada awalnya akan diautentikasi sebagai pengguna yang dipilih, yang memungkinkan penyerang untuk menjalankan perintah apa pun yang dimiliki pengguna.
Huntress, yang menciptakan kembali konsep bukti untuk CVE-2025-31161, mengatakan mereka mengamati eksploitasi CVE-2025-31161 pada 3 April 2025, dan bahwa itu mengungkap aktivitas pasca eksploitasi lebih lanjut yang melibatkan penggunaan agen meshcentral dan malware lainnya. Ada beberapa bukti yang menunjukkan bahwa kompromi mungkin terjadi pada 30 Maret.
Perusahaan cybersecurity mengatakan telah melihat upaya eksploitasi yang menargetkan empat host berbeda dari empat perusahaan yang berbeda hingga saat ini, menambahkan tiga dari mereka yang terkena dampak diselenggarakan oleh Penyedia Layanan Terkelola (MSP) yang sama. Nama -nama perusahaan yang terkena dampak tidak diungkapkan, tetapi mereka termasuk dalam sektor pemasaran, ritel, dan semikonduktor.
Aktor ancaman telah ditemukan untuk mempersenjatai akses untuk menginstal perangkat lunak desktop jarak jauh yang sah seperti AnyDesk dan Meshagent, sementara juga mengambil langkah -langkah untuk memanen kredensial dalam setidaknya satu contoh.
Setelah menggunakan meshagent, para penyerang dikatakan telah menambahkan pengguna non-admin (“CrushUser”) ke grup administrator lokal dan mengirimkan biner C ++ lainnya (“D3D11.dll”), implementasi perpustakaan open-source TGBOT.
“TT kemungkinan bahwa para aktor ancaman memanfaatkan bot telegram untuk mengumpulkan telemetri dari host yang terinfeksi,” kata peneliti Huntress.
Pada 6 April 2025, ada 815 instance yang tidak tertandingi rentan terhadap cacat, dengan 487 di antaranya terletak di Amerika Utara dan 250 di Eropa. Mengingat eksploitasi aktif, agensi Cabang Eksekutif Sipil Federal (FCEB) diharuskan untuk menerapkan tambalan yang diperlukan pada 28 April untuk mengamankan jaringan mereka.
