HackerNews 编译,转载请注明出处:
美国网络安全和基础设施安全局(CISA)已将最近披露的一个影响 CrushFTP 的严重安全漏洞添加到其已知被利用漏洞(KEV)目录中,此前有报告显示该漏洞在野外被积极利用。
该漏洞是一个身份验证绕过漏洞,可能允许未认证的攻击者接管易受攻击的实例。该漏洞已在版本 10.8.4 和 11.3.1 中修复。
“CrushFTP 在 HTTP 授权头中存在身份验证绕过漏洞,允许远程未认证的攻击者认证到任何已知或可猜测的用户账户(例如 crushadmin),可能导致完全被攻陷,”CISA 在一份公告中表示。
该漏洞已被分配了 CVE 编号 CVE-2025-31161(CVSS 评分:9.8)。值得注意的是,同一漏洞之前被追踪为 CVE-2025-2825,但现在已在 CVE 列表中被标记为拒绝。
这一进展是在与该漏洞相关的披露过程陷入争议和混乱之后发生的,VulnCheck 作为 CVE 编号机构(CNA),分配了一个编号(即 CVE-2025-2825),而实际的 CVE(即 CVE-2025-31161)则一直悬而未决。
Outpost24 负责任地向供应商披露了该漏洞,并澄清说,它在 2025 年 3 月 13 日向 MITRE 请求了一个 CVE 编号,并且正在与 CrushFTP 协调,以确保在 90 天的披露期内推出修复措施。
然而,直到 3 月 27 日,MITRE 才将该漏洞分配为 CVE-2025-31161,而此时 VulnCheck 已经发布了自己的 CVE,且在发布前未联系“CrushFTP 或 Outpost24 以查看是否已经有负责任的披露流程正在进行中。”
VulnCheck 方面批评 MITRE 拒绝 CVE-2024-2825 并发布了 CVE-2025-31161,同时指责 CrushFTP 试图掩盖该漏洞。
“CrushFTP, LLC 发布了一则公告,但故意要求在 90 天内不发布 CVE,实际上试图将该漏洞对安全社区和防御者隐瞒,”VulnCheck 安全研究员 Patrick Garrity 在 LinkedIn 的一篇帖子中表示。
“更糟糕的是,MITRE 似乎优先考虑其在编写过程中的参与,而不是及时披露一个在野外被积极利用的漏洞。这开创了一个危险的先例。”
这家瑞典网络安全公司随后发布了触发该漏洞利用的分步说明,但没有透露太多技术细节:
- 生成一个至少 31 个字符长度的随机字母数字会话令牌设置一个名为 CrushAuth 的 cookie,其值为步骤 1 中生成的值设置一个名为 currentAuth 的 cookie,其值为步骤 1 中生成值的最后 4 个字符使用步骤 2 和 3 中的 cookie 以及将 Authorization 头设置为“AWS4-HMAC=<username>/”(其中 <username> 是要登录的用户,例如 crushadmin)对目标 /WebInterface/function/ 执行 HTTP GET 请求
这些操作的最终结果是,最初生成的会话将作为选定用户进行认证,允许攻击者执行该用户有权执行的任何命令。
Huntress 重新创建了 CVE-2025-31161 的概念验证,并表示在 2025 年 4 月 3 日观察到 CVE-2025-31161 在野外被利用,并发现了进一步的后续攻击活动,包括使用 MeshCentral 代理和其他恶意软件。有证据表明,攻陷可能早在 3 月 30 日就已发生。
这家网络安全公司表示,到目前为止,已观察到针对四家不同公司的四个不同主机的攻击,其中三家受影响的公司由同一家托管服务提供商(MSP)托管。受影响公司的名称未被披露,但它们属于营销、零售和半导体行业。
发现威胁行为者利用该访问权限安装了诸如 AnyDesk 和 MeshAgent 等合法远程桌面软件,同时在至少一个实例中采取措施收集凭证。
在部署 MeshAgent 后,据说攻击者将一个非管理员用户(“CrushUser”)添加到本地管理员组,并交付了另一个 C++ 二进制文件(“d3d11.dll”),这是开源库 TgBot 的一种实现。
“很可能威胁行为者正在利用 Telegram 机器人从受感染的主机收集遥测数据,”Huntress 研究人员表示。
截至 2025 年 4 月 6 日,共有 815 个未修补的实例容易受到该漏洞的影响,其中 487 个位于北美,250 个在欧洲。鉴于该漏洞正在被积极利用,联邦民用行政分支(FCEB)机构必须在 4 月 28 日之前应用必要的补丁以保护其网络。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
