米国の最高サイバーセキュリティ機関は、ファイル転送ソリューション提供企業CrushFTPの製品における重大な脆弱性が実環境で悪用されていることを確認した。
認証バイパスの脆弱性CVE-2025-31161は、4月7日にサイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)の既知の悪用済み脆弱性(KEV)カタログに追加された。
セキュリティ勧告は、「この種の脆弱性は悪意あるサイバー攻撃者にとって頻繁に利用される侵入経路であり、連邦政府の組織全体に重大なリスクをもたらす」と述べた。
CISAは、連邦政府の各省庁およびその他の組織に対し、脆弱性管理の取り組みの一環として当該脆弱性の修正を最優先するよう強く求めた。
脆弱性開示の混乱
この脆弱性は重大な認証バイパス(CVSS基本スコア9.8)で、未修正のCrushFTP v10またはv11を実行しているデバイスを、未認証の攻撃者が乗っ取れる可能性がある。
Outpost24が特定し、CrushFTPが3月21日に開示したもので、バージョン10.8.4および11.3.1で修正されている。
しかし、この脆弱性は、同一の問題に対して2つのCVE採番機関(CNA)が別々の脆弱性識別子を公開したことで、開示に混乱が生じた。
Outpost24はCNAであるMITREと協力し、CVE識別子CVE-2025-31161を確保した。
その後、Outpost24とMITREはCrushFTPと調整し、詳細が公開される前に利用者が十分なパッチ適用時間を確保できるよう、90日間の非開示期間に合意した。
一方で、別のCNAであるVulnCheckは、Outpost24やCrushFTPに相談することなく、3月26日に別の識別子CVE-2025-2825を公開したとされる。
2日後、Shadowserver FoundationはXで、公開されている概念実証(PoC)エクスプロイトコードに基づき、CVE-2025-2825の悪用試行を観測していると述べた。この非営利団体はまた、CVE-2025-2825の影響を受ける未修正のインスタンスが少なくとも1512件あることを特定した。
— The Shadowserver Foundation (@Shadowserver) 2025年3月31日
MITREは4月3日にCVE-2025-31161のエントリを公開した。CVE-2025-2825は現在、MITREのウェブサイトおよび米国国立脆弱性データベース(NVD)で「Rejected(却下)」として表示されている。
Outpost24は4月2日のセキュリティ更新で、VulnCheckの開示により、利用者がシステムを更新する前に脆弱性が広く知られることになり、その結果、実際の悪用が発生したと主張した。
一方で、VulnCheckはMITREがCVE-2024-2825を却下したことを批判した。
VulnCheckのセキュリティ研究者Patrick Garrity氏はLinkedInで、「CrushFTPは[…]意図的に、90日間CVEを発行しないよう求め、事実上、セキュリティコミュニティと防御側から脆弱性を隠そうとした」と述べた。
同氏はさらに、「さらに悪いことに、MITREは実環境で積極的に悪用されている脆弱性の迅速な開示よりも、解説記事への関与を優先したように見える……これは危険な前例となる」と付け加えた。
翻訳元: https://www.infosecurity-magazine.com/news/crushftp-vulnerability-cisa-kev/
