Exploit de tip PoC lansat pentru o vulnerabilitate 0-day în CrushFTP

A fost lansat public un exploit de tip proof-of-concept ce vizează CVE-2025-54309, o vulnerabilitate majoră de ocolire a autentificării care afectează serverele de transfer de fișiere CrushFTP.

Vulnerabilitatea permite atacatorilor la distanță să obțină privilegii administrative printr-o eroare de tip race condition în procesarea validării AS2, ocolind complet mecanismele de autentificare.

Exploatată pentru prima dată în iulie 2025, vulnerabilitatea afectează versiunile CrushFTP 10 anterioare versiunii 10.8.5 și versiunile 11 anterioare versiunii 11.3.4_23 atunci când funcția proxy DMZ rămâne dezactivată, o configurație care afectează majoritatea instanțelor implementate în mediile enterprise.

Cu peste 30.000 de instanțe expuse online, atacatorii au exploatat gestionarea necorespunzătoare a validării AS2 pentru a obține acces administrativ prin HTTPS.

Mai precis, vulnerabilitatea se află în endpoint-ul WebInterface/function/, unde două cereri HTTP POST secvențiale se suprapun pentru a seta starea sesiunii.

Specialiștii recomandă monitorizarea creșterii neobișnuite de cereri POST către /WebInterface/function/ cu modele repetitive AS2-TO și cookie.

Măsurile de atenuare includ:

• actualizarea la CrushFTP 10.8.5 sau 11.3.4_23 (sau o versiune ulterioară);
• activarea funcției proxy DMZ dacă nu este deja configurată;
• monitorizarea înregistrărilor de utilizatori administrative și validarea modelelor de reutilizare a sesiunilor.

Sursă: https://cybersecuritynews.com/poc-exploit-crushftp-0-day-vulnerability/