CrushFTP CVE-2025-31161 Обход аутентификации и пост-эксплоит

Обнаружение этой уязвимости произошло 3 апреля 2025 года, когда была замечена активность после эксплуатации с использованием вредоносных программ и агента MeshCentral. Проведенный анализ показал свидетельства компрометации уже 30 марта 2025 года, что указывает на то, что злоумышленники тестировали доступ и не вызывали подозрений.

Уязвимость CVE-2025-31161 исправлена в версии 11.3.1+ и 10.8.4+ программы CrushFTP. Huntress подтвердила, что обход аутентификации предотвращен в обновленных версиях. Рекомендуется обновить экземпляры CrushFTP до последних версий, особенно если они находятся в открытом доступе в Интернете. В случае успешной эксплуатации уязвимости, злоумышленники получают полный контроль над приложением CrushFTP, включая возможность создания бэкдоров и выполнения административных действий.

Обнаружение активности эксплуатации CVE-2025-31161 было доложено Shadowserver Foundation 31 марта 2025 года, и на уязвимых серверах уже были обнаружены различные вторичные действия. Это является примером тенденции, в которой злоумышленники используют платформы для передачи файлов (MFT) в атаках. Компании, занимающиеся безопасностью, обнародовали технические детали уязвимости, и уязвимые сервера были успешно воссозданы, доказав возможность обхода аутентификации.

Для успешной эксплуатации уязвимости используется HTTP-запрос, который содержит заголовок авторизации S3, позволяющий обойти аутентификацию и выполнить различные действия с правами администратора. Этот пример HTTP-запроса демонстрирует ключевые компоненты уязвимости.

В связи с обнаружением активности эксплуатации и уязвимых серверов, рекомендуется немедленно обновить экземпляры CrushFTP до последних версий, чтобы предотвратить возможную компрометацию.

IPv4

• 172.235.144.67
• 2.58.56.16

SHA256

• 9036c92c3ca73cb6ec2da25035322554319288fd2f6db906413011873ad7e281
• be6cb5f80b33b9e97622d278a86a99e67b78ccab0b3e554b8430ae5969bcfc0e