Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) yakın zamanda bilinen sömürülen güvenlik açıkları kataloğuna yeni bir güvenlik açığı ekledi. CVE-2025-31161 olarak tanımlanan güvenlik açığı, yaygın olarak kullanılan bir FTP sunucu yazılımı olan Crushftp’de bir kimlik doğrulama baypas güvenlik açığıdır.
CVE-2025-31161, 10.8.4 ve 11.3.1’den önceki Crushftp sürümlerini özellikle etkiler, bu da kullanıcıları bir kimlik doğrulama baypası saldırısına karşı savunmasız bırakır. Bu kusur, saldırganların kimlik doğrulama mekanizmalarını atlamasına ve DMZ Proxy örneği gibi belirli koruyucu önlemler mevcut olmadığı sürece “Crusadmin” hesabı gibi yönetim hesaplarını devralmasına olanak tanır. Güvenlik açığı, CrushftP’nin HTTP bileşeni tarafından kullanılan AWS4-HMAC (S3 ile uyumlu) yetkilendirme yöntemindeki bir yarış koşuluyla bağlantılıdır.
Kusur, saldırganların doğru şifreyi sağlamaya gerek kalmadan yönetim hesapları da dahil olmak üzere herhangi bir kullanıcı olarak kimlik doğrulaması yapmasına izin verir. Güvenlik açığından yararlanarak, saldırganlar standart kimlik doğrulama işlemlerini atlayarak sistemi tehlikeye atmayı önemsiz hale getirebilir. Bu kusur sadece yetkisiz erişimi kolaylaştırmakla kalmaz, aynı zamanda tam sistem uzlaşmasına izin verir, hassas verileri ve kritik altyapıyı riske atar.
Nasıl CVE-2025-31161 Güvenlik Açığı İşi?
Güvenlik açığı, CrushFTP’nin oturum açma işlemi sırasında kullanıcı kimlik bilgilerini doğrulama biçiminden kaynaklanır. Özellikle, sunucu önce bir kullanıcı adının parola gerekmeden var olup olmadığını kontrol ederek oturumun HMAC doğrulama işlemi boyunca kimliği doğrulanmasına izin verir. Ancak, sunucu kullanıcının kimlik bilgilerini daha sonraya kadar tam olarak kontrol edemez ve bir saldırganın manipüle edilmiş bir AWS4-HMAC başlığını enjekte etmesi için bir fırsat penceresi oluşturur.
Bu, sunucunun saldırganı geçerli bir kullanıcı olarak yanlışlıkla doğruladığı bir Anyspass kimlik doğrulama işlemine yol açar. Ayrıca, AWS4-HMAC üstbilgisini manipüle ederek, saldırgan, oturumun temizlenmesini önleyen bir “sınır-çıkış” hatasını tetikleyebilir ve saldırganın etkin bir şekilde erişimi süresiz olarak tutmasına izin verebilir. Bu faktör kombinasyonu, kusuru özellikle tehlikeli ve sömürülmesini kolaylaştırır.
Etkisi ve şiddeti CVE-2025-31161
Güvenlik açığı, CVSS skoru 9.8 ile kritik olarak sınıflandırılmıştır. Bu yüksek şiddet derecesi, kusurun etkilenen crushftp sürümlerini kullanan kuruluşlar için bir risk oluşturduğunu göstermektedir. Güvenlik açığı özellikle ilgilidir, çünkü uygun yetkilendirme olmadan idari hesapları devralma yeteneği de dahil olmak üzere sistemlerin tam olarak uzlaşmasına yol açabilir.
Bu kusur sadece teorik bir risk değildir, aynı zamanda vahşi doğada aktif olarak sömürülmüştür, bu da kullanıcıların derhal harekete geçmesini önemli hale getirir. Eklenmemiş kalırsa, güvenlik açığı veri ihlallerine, hassas dosyalara yetkisiz erişime ve potansiyel sistem kesintilerine yol açabilir.
Etkilenen versiyonlar ve hafifletme
Crushftp’in aşağıdaki sürümleri kimlik doğrulama baypas güvenlik açığından etkilenir:
- Crushftp 10.0.0 ila 10.8.3
- Crushftp 11.0.0 ila 11.3.0
Riski azaltmak için kullanıcıların en son sürümleri güncellemeleri şiddetle tavsiye edilir:
- Crushftp 10.8.4 veya üstü
- Crushftp 11.3.1 veya üstü
Henüz güncellenmemiş olanlar için, bu kırılganlığa maruz kalmaktan kaçınmak için bunu mümkün olan en kısa sürede yapmak çok önemlidir. Güncelleme işlemi basittir ve Crushftp panosundan yapılabilir.
Doğrudan güncellemeler mümkün değilse, kullanıcılar en son sürümleri manuel olarak indirebilir ve yamaları çevrimdışı uygulayabilir.
Çözüm
CVE-2025-31161 gibi güvenlik açıklarına karşı korumayı geliştirmek için, kullanıcılar yalnızca Crushftp’i en son güvenli sürümlere güncellememeli, aynı zamanda V11.2.3_19+için Tercihler XML dosyasındaki “Daily_check_and_auto_update_on_idle” bayrağını ayarlayarak otomatik güncellemeleri etkinleştirmelidir.
Ayrıca, e -posta sıfırlama URL etki alanlarını yapılandırmak ve DMZ proxy gibi ekstra güvenlik önlemlerinin uygulanması şiddetle tavsiye edilir. Yetkisiz erişimi önlemek için v10.6.1 veya v10.5.5 gibi eski sürümlerdeki kullanıcılar hemen güncellenmelidir.
Önceki crushftp sürümleri, şifre sıfırlama istismarları ve XSS hataları gibi kusurlar tarafından da hedeflendiğinden, bu güvenlik açığı izole bir konu değildir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.