CrushFTPは週末、ハッカーが同社のマネージドファイル転送ソフトウェアのゼロデイ脆弱性を悪用し、脆弱なサーバーへの管理者アクセスを取得していると警告しました。
CVE-2025-54309(CVSSスコア9.0)として追跡されているこの脆弱性は、DMZプロキシ機能が使用されていない場合のAS2検証の誤処理に起因し、リモートの攻撃者がHTTPS経由で管理者権限を取得できると説明されています。
CrushFTPによると、このセキュリティ欠陥は7月1日以前にリリースされたビルドに存在し、最近のソフトウェアリリースでパッチが適用されたものの、攻撃経路自体は対処されていませんでした。
「攻撃経路はHTTP(S)で、これを使ってサーバーを悪用できました。私たちはAS2に関連するHTTP(S)の別の問題を修正しましたが、以前のバグがこのような形で悪用されるとは気づいていませんでした」とCrushFTPはアドバイザリで述べています。
同社は、脅威アクターがコードをリバースエンジニアリングし、パッチが適用されていないインスタンスに対してバグを悪用できることを発見した可能性が高いと考えています。
「ハッカーは私たちのコード変更を見て、以前のバグを悪用する方法を見つけたようです」とCrushFTPは述べています。
同社によると、アプリケーションの前にDMZを使用していないインスタンスのみが悪用のリスクにさらされています。
CrushFTPは、7月18日朝に初めて実際の攻撃を観測しましたが、悪用はそれ以前に始まっていた可能性があります。CrushFTPバージョン10の10.8.5未満およびバージョン11の11.3.4_23未満が影響を受けます。パッチはCrushFTPバージョン10.8.5_12および11.3.4_26に含まれています。
広告。スクロールして続きをお読みください。
侵害の指標(IoC)には、デフォルトユーザーのXMLファイル内の「last_logins」エントリの存在、ファイルのタイムスタンプの変更、デフォルトユーザーの管理者アクセス、長いランダムなuserIDの存在、管理者権限を持つ新しいユーザー名の存在、エンドユーザーWebインターフェースからボタンが消えること、通常ユーザー向けの管理者ボタンの表示などが含まれます。
さらに同社は、攻撃者がソフトウェアのバージョンを改ざんして偽の安全感を与えていることが観測されており、管理者に対してMD5ハッシュを確認し、改ざんの有無をチェックするよう促しています。
管理者は、以前のバックアップからデフォルトユーザーを復元するか、単にデフォルトユーザーを削除するべきですが、削除した場合は以前のカスタマイズも消去されます。
「アップロード/ダウンロードレポートを確認し、転送されたものがないか調べてください。ハッカーは以前のエクスプロイトからスクリプトを再利用し、CrushFTPサーバーに何かを展開しました。私たちは、何かが行われた可能性を避けるために、7月16日時点の状態に復元することを推奨します。7月18日朝に大規模な悪用を確認しましたが、実際の悪用は管理者が寝ている間の前日から発生していた可能性があります」とCrushFTPは述べています。
また、管理者アカウントにIP制限を設けること、サーバーへの接続を許可するIPをフィルタリングすること、ファイル転送ツールの前にDMZ CrushFTPインスタンスを使用すること、常に最新のアプリケーションリリースを維持するため自動更新を有効にすることも推奨されています。
関連記事: 1,400を超えるCrushFTPインスタンスが悪用されたゼロデイに脆弱
関連記事: CrushFTP、悪用されたゼロデイ脆弱性にパッチを適用
翻訳元: https://www.securityweek.com/exploited-crushftp-zero-day-provides-admin-access-to-servers/