Vulnerabilitatea CrushFTP exploatată în atacuri după lansarea PoC

Specialiștii în securitate au confirmat încercările active de exploatare care vizează vulnerabilitatea critică de ocolire a autentificării în CrushFTP (CVE-2025-2825) în urma publicării codului de exploatare de tip proof-of-concept.

Vulnerabilitatea afectează versiunile CrushFTP 10.0.0 până la 10.8.3 și 11.0.0 până la 11.3.0.

Aceasta permite atacatorilor de la distanță neautentificați să ocolească autentificarea printr-o cerere HTTP malițioasă, ceea ce poate duce la compromiterea completă a sistemului.

Atacul utilizează trei componente critice:

• un header AWS fals care exploatează gestionarea protocolului S3 al CrushFTP cu numele de utilizator implicit crushadmin;
• un cookie modificat cu o valoare CrushAuth specifică de 44 de caractere;
• modificarea parametrului utilizând parametrul c2f pentru a ocoli controalele de verificare a parolei.

Vulnerabilitatea provine dintr-o logică de autentificare necorespunzătoare la procesarea cererilor de tip S3, în care sistemul acceptă în mod incorect credențiala crushadmin/ ca fiind validă fără o verificare corespunzătoare a parolei.

CrushFTP a lansat versiunea 11.3.1 cu remedieri critice care abordează vulnerabilitatea prin:

• dezactivarea implicită a căutarilor insecurizate de parole S3;
• adăugarea unui parametru de securitate s3_auth_lookup_password_supported=false;
• implementarea verificărilor corespunzătoare ale fluxului de autentificare.

Această vulnerabilitate urmărește erori de securitate anterioare din CrushFTP, inclusiv CVE-2023-43177, care a permis în mod similar atacatorilor neautentificați să acceseze fișiere și să execute cod arbitrar.

Se recomandă aplicarea celor mai recente actualizări de securitate disponibile.

Sursă: https://cybersecuritynews.com/crushftp-vulnerability-exploited-in-attacks/