安全研究人員證實，在概念驗證（PoC）利用代碼公開后，針對CrushFTP關(guān)鍵身份驗證繞過漏洞（CVE-2025-2825）的攻擊嘗試已經(jīng)開始活躍。

根據(jù)Shadowserver基金會最新監(jiān)測數(shù)據(jù)，截至2025年3月30日，全球仍有約1512個未打補丁的實例處于暴露狀態(tài)，其中北美地區(qū)占比最高（891臺）。

該漏洞CVSS評分為9.8分，影響CrushFTP 10.0.0至10.8.3版本以及11.0.0至11.3.0版本。

該漏洞于2025年3月26日首次披露，攻擊者可通過構(gòu)造特殊的HTTP請求繞過身份驗證，最終可能導(dǎo)致系統(tǒng)完全淪陷。

"我們觀察到基于公開PoC利用代碼的CrushFTP CVE-2025-2825漏洞利用嘗試，"Shadowserver基金會在最新公告中表示，"全球約有1800個未修復(fù)實例，其中美國超過900個。"

我們觀察到基于公開PoC利用代碼的CrushFTP CVE-2025-2825漏洞利用嘗試。您可以通過我們的儀表板追蹤攻擊嘗試https://t.co/PNW2ZzS9Gy截至2025-03-30仍有1512個未修復(fù)實例易受CVE-2025-2825影響https://t.co/PNW2ZzS9Gy https://t.co/w0CkIHWxk8 pic.twitter.com/MCFnwsjmP0

— The Shadowserver Foundation (@Shadowserver) 2025年3月31日

漏洞利用技術(shù)細節(jié)

ProjectDiscovery安全研究人員發(fā)布詳細分析報告，揭示攻擊者可通過相對簡單的三步流程利用該漏洞：

攻擊利用三個關(guān)鍵組件：

• 偽造的AWS標頭，利用CrushFTP默認"crushadmin"用戶名處理S3協(xié)議
• 包含特定44字符CrushAuth值的偽造cookie
• 使用c2f參數(shù)繞過密碼驗證檢查的參數(shù)操控

該漏洞源于處理S3風格請求時的認證邏輯缺陷，系統(tǒng)錯誤地將"crushadmin/"憑證視為有效而不進行正確的密碼驗證。

Shadowserver監(jiān)控儀表板最新數(shù)據(jù)顯示，歐洲以490個易受攻擊實例位居第二，其次是亞洲（62個）、大洋洲（45個），南美和非洲各有12個。

緩解措施

CrushFTP已發(fā)布11.3.1版本，通過以下方式修復(fù)漏洞：

• 默認禁用不安全的S3密碼查找
• 新增安全參數(shù)"s3_auth_lookup_password_supported=false"
• 實施正確的認證流程檢查

安全專家建議立即采取以下措施：

• 立即升級至CrushFTP 11.3.1+或10.8.4+版本
• 若無法立即打補丁，可啟用DMZ功能作為臨時緩解措施
• 使用ProjectDiscovery免費檢測工具：nuclei -t https://cloud.projectdiscovery.io/public/CVE-2025-2825
• 審計服務(wù)器日志中可疑的/WebInterface/function/ GET請求

這是CrushFTP繼CVE-2023-43177后再次出現(xiàn)安全問題，該漏洞同樣允許未認證攻擊者訪問文件并執(zhí)行任意代碼。文件傳輸解決方案中反復(fù)出現(xiàn)的認證漏洞反映出令人擔憂的趨勢，攻擊者持續(xù)將這些關(guān)鍵基礎(chǔ)設(shè)施組件作為入侵企業(yè)網(wǎng)絡(luò)的入口。各組織應(yīng)立即優(yōu)先修補此漏洞。