コンテンツにスキップするには Enter キーを押してください

CrushFTPのゼロデイ脆弱性が悪用され、サーバーへの管理者アクセスが取得される攻撃が発生

投稿日 2025年7月19日

Image

CrushFTPは、CVE-2025-54309として追跡されているゼロデイ脆弱性が脅威アクターによって積極的に悪用されており、攻撃者が脆弱なサーバーのWebインターフェースを通じて管理者アクセスを取得できると警告しています。

CrushFTPは、企業向けのファイル転送サーバーであり、組織がFTP、SFTP、HTTP/Sなどのプロトコルを介して安全にファイルを共有・管理するために使用されています。

CrushFTPによると、脅威アクターがこの脆弱性を悪用しているのが最初に検出されたのは7月18日午前9時(CST)ですが、前日の早朝から始まっていた可能性もあります。

CrushFTPのCEOであるBen Spink氏はBleepingComputerに対し、以前にHTTP(S)のAS2に関連する脆弱性を修正した際、偶然にもこのゼロデイ脆弱性もブロックされていたと語りました。

「以前の修正が偶然にもこの脆弱性もブロックしていましたが、その修正は別の問題を対象としており、デフォルトであまり使われていない機能を無効化するものでした」とSpink氏はBleepingComputerに語りました。

CrushFTPは、脅威アクターが同社のソフトウェアをリバースエンジニアリングし、この新たなバグを発見し、パッチが適用されていないデバイスで悪用を開始したと考えています。

「このバグはおおよそ7月1日以前のビルドに存在していたと考えられます…CrushFTPの最新バージョンではすでにこの問題は修正されています」とCrushFTPのアドバイザリには記載されています。

「攻撃ベクトルはHTTP(S)で、これを利用してサーバーを悪用できました。私たちはHTTP(S)のAS2に関連する別の問題を修正していましたが、その以前のバグがこのように悪用されるとは気づいていませんでした。ハッカーは私たちのコード変更を見て、そのバグを悪用する方法を見つけ出したようです。

「常に、定期的かつ頻繁なパッチ適用を推奨しています。最新の状態を維持していた方は、この攻撃から免れました。」

この攻撃は、CrushFTP v10.8.5およびCrushFTP v11.3.4_23より前のバージョンのソフトウェアのWebインターフェースを通じて発生します。これらのバージョンがいつリリースされたかは不明ですが、CrushFTPによれば7月1日頃とのことです。

CrushFTPは、最新の状態に保たれているシステムは脆弱ではないと強調しています。

DMZ CrushFTPインスタンスを使用してメインサーバーを隔離しているエンタープライズ顧客は、この脆弱性の影響を受けていないと考えられています。

自分のシステムが侵害されたと考える管理者は、7月16日以前の日付のバックアップからデフォルトのユーザー設定を復元することが推奨されています。侵害の兆候には以下が含まれます:

  • MainUsers/default/user.XMLに予期しないエントリがある(特に最近の変更やlast_loginsフィールド)
  • 7a0d26089ac528941bf8cb998d97f408mのような新規で見覚えのない管理者レベルのユーザー名

Spink氏によると、最も一般的に見られるIOC(侵害の兆候)はデフォルトユーザーの変更だといいます。

「一般的に、デフォルトユーザーが主なIOCとして変更されています。攻撃者にとっては利用可能ですが、他の誰にも使えない非常に無効な方法で変更されていることが多いです」とSpink氏はBleepingComputerに語りました。

CrushFTPは、アップロードおよびダウンロードログを確認して異常な活動がないか調査し、以下の対策を講じることを推奨しています:

  • サーバーおよび管理者アクセスのためのIPホワイトリスト化
  • DMZインスタンスの利用
  • 自動更新の有効化

しかし、サイバーセキュリティ企業Rapid7は、DMZの使用が悪用防止の信頼できる戦略とは限らないと述べています。

「念のため、Rapid7は緩和策としてDMZ(非武装地帯)に依存することを推奨しません」とRapid7は警告しています

現時点では、この攻撃がデータ窃取やマルウェアの展開に使われたかどうかは不明です。しかし、近年、マネージドファイル転送ソリューションはデータ窃取キャンペーンの高価値ターゲットとなっています。

過去には、主にClopなどのランサムウェアグループが、CleoMOVEit TransferGoAnywhere MFTAccellion FTAなどの類似プラットフォームのゼロデイ脆弱性を繰り返し悪用し、大規模なデータ窃取や恐喝攻撃を行ってきました。


Wiz

CISOが実際に使うボードレポートデッキ

CISOは、クラウドセキュリティがどのようにビジネス価値を生み出すかを明確かつ戦略的に示すことで、取締役会の賛同を得られることを知っています。

この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティアップデートを有意義な会話と迅速な意思決定につなげましょう。

翻訳元: https://www.bleepingcomputer.com/news/security/crushftp-zero-day-exploited-in-attacks-to-gain-admin-access-on-servers/

Published in bleepingcomputer.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です