Vulnerabilitatea CrushFTP exploatată în atacuri după lansarea PoC
Sursă: https://cybersecuritynews.com/
Specialiștii în securitate au confirmat încercările active de exploatare care vizează vulnerabilitatea critică de ocolire a autentificării în CrushFTP (CVE-2025-2825) în urma publicării codului de exploatare de tip proof-of-concept.
Vulnerabilitatea afectează versiunile CrushFTP 10.0.0 până la 10.8.3 și 11.0.0 până la 11.3.0.
Aceasta permite atacatorilor de la distanță neautentificați să ocolească autentificarea printr-o cerere HTTP malițioasă, ceea ce poate duce la compromiterea completă a sistemului.
Atacul utilizează trei componente critice:
- un header AWS fals care exploatează gestionarea protocolului S3 al CrushFTP cu numele de utilizator implicit crushadmin;
- un cookie modificat cu o valoare CrushAuth specifică de 44 de caractere;
- modificarea parametrului utilizând parametrul c2f pentru a ocoli controalele de verificare a parolei.
Vulnerabilitatea provine dintr-o logică de autentificare necorespunzătoare la procesarea cererilor de tip S3, în care sistemul acceptă în mod incorect credențiala crushadmin/ ca fiind validă fără o verificare corespunzătoare a parolei.
CrushFTP a lansat versiunea 11.3.1 cu remedieri critice care abordează vulnerabilitatea prin:
- dezactivarea implicită a căutarilor insecurizate de parole S3;
- adăugarea unui parametru de securitate s3_auth_lookup_password_supported=false;
- implementarea verificărilor corespunzătoare ale fluxului de autentificare.
Această vulnerabilitate urmărește erori de securitate anterioare din CrushFTP, inclusiv CVE-2023-43177, care a permis în mod similar atacatorilor neautentificați să acceseze fișiere și să execute cod arbitrar.
Se recomandă aplicarea celor mai recente actualizări de securitate disponibile.
Sursă: https://cybersecuritynews.com/crushftp-vulnerability-exploited-in-attacks/
