安全研究人員證實(shí)，在概念驗(yàn)證（PoC）利用代碼公開后，針對(duì)CrushFTP關(guān)鍵身份驗(yàn)證繞過漏洞（CVE-2025-2825）的攻擊嘗試已經(jīng)開始活躍。

根據(jù)Shadowserver基金會(huì)最新監(jiān)測(cè)數(shù)據(jù)，截至2025年3月30日，全球仍有約1512個(gè)未打補(bǔ)丁的實(shí)例處于暴露狀態(tài)，其中北美地區(qū)占比最高（891臺(tái)）。

該漏洞CVSS評(píng)分為9.8分，影響CrushFTP 10.0.0至10.8.3版本以及11.0.0至11.3.0版本。

該漏洞于2025年3月26日首次披露，攻擊者可通過構(gòu)造特殊的HTTP請(qǐng)求繞過身份驗(yàn)證，最終可能導(dǎo)致系統(tǒng)完全淪陷。

"我們觀察到基于公開PoC利用代碼的CrushFTP CVE-2025-2825漏洞利用嘗試，"Shadowserver基金會(huì)在最新公告中表示，"全球約有1800個(gè)未修復(fù)實(shí)例，其中美國超過900個(gè)。"

我們觀察到基于公開PoC利用代碼的CrushFTP CVE-2025-2825漏洞利用嘗試。您可以通過我們的儀表板追蹤攻擊嘗試https://t.co/PNW2ZzS9Gy截至2025-03-30仍有1512個(gè)未修復(fù)實(shí)例易受CVE-2025-2825影響https://t.co/PNW2ZzS9Gy https://t.co/w0CkIHWxk8 pic.twitter.com/MCFnwsjmP0

— The Shadowserver Foundation (@Shadowserver) 2025年3月31日

漏洞利用技術(shù)細(xì)節(jié)

ProjectDiscovery安全研究人員發(fā)布詳細(xì)分析報(bào)告，揭示攻擊者可通過相對(duì)簡單的三步流程利用該漏洞：

攻擊利用三個(gè)關(guān)鍵組件：

• 偽造的AWS標(biāo)頭，利用CrushFTP默認(rèn)"crushadmin"用戶名處理S3協(xié)議
• 包含特定44字符CrushAuth值的偽造cookie
• 使用c2f參數(shù)繞過密碼驗(yàn)證檢查的參數(shù)操控

該漏洞源于處理S3風(fēng)格請(qǐng)求時(shí)的認(rèn)證邏輯缺陷，系統(tǒng)錯(cuò)誤地將"crushadmin/"憑證視為有效而不進(jìn)行正確的密碼驗(yàn)證。

Shadowserver監(jiān)控儀表板最新數(shù)據(jù)顯示，歐洲以490個(gè)易受攻擊實(shí)例位居第二，其次是亞洲（62個(gè)）、大洋洲（45個(gè)），南美和非洲各有12個(gè)。

緩解措施

CrushFTP已發(fā)布11.3.1版本，通過以下方式修復(fù)漏洞：

• 默認(rèn)禁用不安全的S3密碼查找
• 新增安全參數(shù)"s3_auth_lookup_password_supported=false"
• 實(shí)施正確的認(rèn)證流程檢查

安全專家建議立即采取以下措施：

• 立即升級(jí)至CrushFTP 11.3.1+或10.8.4+版本
• 若無法立即打補(bǔ)丁，可啟用DMZ功能作為臨時(shí)緩解措施
• 使用ProjectDiscovery免費(fèi)檢測(cè)工具：nuclei -t https://cloud.projectdiscovery.io/public/CVE-2025-2825
• 審計(jì)服務(wù)器日志中可疑的/WebInterface/function/ GET請(qǐng)求

這是CrushFTP繼CVE-2023-43177后再次出現(xiàn)安全問題，該漏洞同樣允許未認(rèn)證攻擊者訪問文件并執(zhí)行任意代碼。文件傳輸解決方案中反復(fù)出現(xiàn)的認(rèn)證漏洞反映出令人擔(dān)憂的趨勢(shì)，攻擊者持續(xù)將這些關(guān)鍵基礎(chǔ)設(shè)施組件作為入侵企業(yè)網(wǎng)絡(luò)的入口。各組織應(yīng)立即優(yōu)先修補(bǔ)此漏洞。