Agencija za sajber sigurnost i sigurnost infrastrukture (CISA) dodala je kritičnu ranjivost zaobilaženja autentifikacije u softveru za prenos datoteka CrushFTP u svoj Katalog poznatih eksploatiranih ranjivosti (KEV) .
Označena kao CVE-2025-31161, ova ranjivost se aktivno iskorištava u divljini, što predstavlja značajne sigurnosne rizike za organizacije koje koriste zahvaćene verzije softvera.
Ranjivost zaobilaženja CrushFTP autentifikacije utiče na verzije od 10.0.0 do 10.8.3 i 11.0.0 do 11.3.0 aplikacije za prijenos datoteka.
Sa CVSS ocjenom 9,8 (kritično), ova ranjivost omogućava udaljenim napadačima da dobiju neovlašteni pristup sistemima koji pokreću nezakrpljene CrushFTP instance.
Ranjivost zaobilaženja CrushFTP autentifikacije
Istraživači sigurnosti u Outpost24 otkrili su propust, koji proizlazi iz kritičnog problema u načinu na koji CrushFTP obrađuje S3 autorizacijske zaglavlja.
Ranjivost uključuje logičku zastavicu pod nazivom lookup_user_pass koja služi dvostrukoj svrsi u lancu provjere autentičnosti. Kada je ova zastavica postavljena na true, ona u potpunosti zaobilazi verifikaciju lozinke kroz problematično stanje u datoteci UserTools.java.
Metoda eksploatacije je relativno jednostavna, zahtijeva samo pojednostavljeno zaglavlje autorizacije u stilu AWS S3:
U kombinaciji sa posebno formatiranim CrushAuth kolačićem, ovo omogućava napadačima da se autentifikuju kao bilo koji poznati ili pogodni korisnik bez davanja lozinke.
Prema Shadowserver Foundation, otkriveno je desetine pokušaja eksploatacije usmjerenih na CrushFTP servere izložene internetu, s preko 1.500 ranjivih instanci identifikovanih na mreži.
Istraživači Huntressa su uočili eksploataciju u divljini već 30. marta 2025. godine, pri čemu su napadači iskoristili ranjivost za postavljanje alata za daljinsko upravljanje i drugog malicioznog softvera za aktivnosti nakon eksploatacije.
Sažetak ranjivosti je dat u nastavku:
| Faktori rizika | Detalji |
| Pogođeni proizvodi | CrushFTP verzije 10.0.0 do 10.8.3 i 11.0.0 do 11.3.0 |
| Uticaj | Potpuna kompromitacija sistema i potencijalna krađa podataka |
| Preduvjeti za eksploataciju | Nema preduvjeta; moguća daljinska eksploatacija bez autentifikacije |
| CVSS 3.1 Score | 9.8 (kritično) |
CISA direktiva i sanacija
Dana 7. aprila 2025., CISA je dodala ranjivost u svoj KEV katalog prema Obavezujućoj operativnoj direktivi (BOD) 22-01, koja zahtijeva od agencija Federalne civilne izvršne vlasti (FCEB) da otklone identifikovane ranjivosti do navedenog datuma.
„Ove vrste ranjivosti su česti vektori napada za maliciozne sajber hakere i predstavljaju značajne rizike za savezno preduzeće“, navela je CISA u svom savetovanju.
CrushFTP je 21. marta 2025. objavio zakrpe koje rješavaju ranjivost u verzijama 10.8.4 i 11.3.1. Organizacije koje ne mogu odmah ažurirati mogu omogućiti opciju mreže perimetra DMZ (demilitarizirane zone) kao privremeno rješenje.
Dok se BOD 22-01 odnosi samo na agencije FCEB, CISA snažno poziva sve organizacije da daju prioritet sanaciji ove ranjivosti kao dio svoje prakse upravljanja ranjivostima.
Izvor: CyberSecurityNews
