2025年7月20日Ravie Lakshmanan脆弱性 / 脅威インテリジェンス
新たに公開されたCrushFTPの重大なセキュリティ脆弱性が、実際に悪用されていることが判明しました。CVE識別子CVE-2025-54309が割り当てられており、CVSSスコアは9.0です。
「CrushFTP 10(バージョン10.8.5未満)および11(バージョン11.3.4_23未満)は、DMZプロキシ機能が使用されていない場合、AS2検証の処理に不備があり、その結果、リモート攻撃者がHTTPS経由で管理者権限を取得できる」と、NISTのNational Vulnerability Database(NVD)の脆弱性説明に記載されています。
CrushFTPはアドバイザリの中で、この脆弱性のゼロデイ悪用を2025年7月18日午前9時(CST)に初めて検知したと発表しましたが、実際にはそれ以前から悪用されていた可能性があることも認めています。
「攻撃ベクトルはHTTP(S)で、これを利用してサーバーを悪用できた」と同社は述べています。「私たちはHTTP(S)におけるAS2関連の別の問題を修正しましたが、以前のバグがこのエクスプロイトのように利用されるとは気づきませんでした。ハッカーは私たちのコード変更を見て、以前のバグを悪用する方法を見つけ出したようです。」
CrushFTPは、政府、医療、企業環境で広く利用されており、機密ファイル転送の管理に使われています。そのため、管理者権限の取得は特に危険です。侵害されたインスタンスでは、攻撃者がデータを流出させたり、バックドアを仕込んだり、サーバーを信頼している内部システムに侵入することが可能になります。DMZによる隔離がなければ、公開されたインスタンスが単一障害点となります。
同社によると、この悪意ある活動の背後にいる未知の脅威アクターは、ソースコードをリバースエンジニアリングし、新たな脆弱性を発見して、最新バージョンに更新されていないデバイスを標的にしたとのことです。CVE-2025-54309は、7月1日以前のCrushFTPビルドに存在していたと考えられています。
CrushFTPは、以下の侵害の兆候(IoC)も公開しています。
- デフォルトユーザーが管理者権限を持っている
- 長いランダムなユーザーIDが作成されている(例:7a0d26089ac528941bf8cb998d97f408m)
- 他にも新しいユーザー名が管理者権限で作成されている
- 「MainUsers/default/user.xml」ファイルが最近変更され、「last_logins」値が含まれている
- エンドユーザーWebインターフェースのボタンが消え、以前は通常ユーザーだったユーザーにAdminボタンが表示されている
侵害の可能性を調査するセキュリティチームは、user.xmlの変更時刻を確認し、管理者ログインイベントと公開IPを関連付け、高価値フォルダの権限変更を監査する必要があります。新規作成ユーザーや説明のつかない管理者権限昇格に関連するアクセスログの不審なパターンを探してください。これは実際の侵害シナリオにおける典型的な事後悪用の兆候です。
緩和策として、同社はユーザーにバックアップフォルダから以前のデフォルトユーザーを復元し、アップロード/ダウンロードレポートで不審な転送の兆候を確認することを推奨しています。他の対策は以下の通りです。
- 管理操作に使用するIPアドレスを制限する
- CrushFTPサーバーに接続できるIPを許可リスト化する
- 企業利用の場合はDMZのCrushFTPインスタンスに切り替える
- 自動更新を有効にする
現時点では、この脆弱性を悪用した攻撃の詳細は明らかになっていません。今年4月にも、同じソリューションの別のセキュリティ欠陥(CVE-2025-31161、CVSSスコア:9.8)が悪用され、MeshCentralエージェントや他のマルウェアが配布されました。
昨年も、CrushFTPに影響を与える2つ目の重大な脆弱性(CVE-2024-4040、CVSSスコア:9.8)が、脅威アクターによって複数の米国組織を標的にするために利用されたことが明らかになっています。
過去1年間で複数の高深刻度CVEが悪用されたことで、CrushFTPは高度な脅威キャンペーンの繰り返し標的となっています。組織は、この傾向を広範な脅威露出評価の一部として考慮し、パッチ適用の頻度、サードパーティファイル転送のリスク、リモートアクセスツールや認証情報漏洩を含むゼロデイ検出ワークフローと併せて評価すべきです。
翻訳元: https://thehackernews.com/2025/07/hackers-exploit-critical-crushftp-flaw.html