ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından, vahşi doğada aktif sömürü raporları ortaya çıktıktan sonra bilinen sömürülen güvenlik açıkları (KEV) kataloğuna yakın zamanda açıklanan kritik güvenlik kusuru eklenmiştir.
Güvenlik açığı, kimlik doğrulanmamış bir saldırganın duyarlı örnekleri devralmasına izin verebilecek bir kimlik doğrulama baypası örneğidir. 10.8.4 ve 11.3.1 sürümlerinde sabitlenmiştir.
Cisa, “Crushftp, HTTP yetkilendirme başlığında, uzaktan bir uzlaşmaya yol açan, potansiyel olarak tam bir uzlaşmaya yol açan, uzaktancaksız bir kullanıcı hesabına (örneğin, Curnadmin) kimlik doğrulamasına izin veren bir kimlik doğrulama bypass güvenlik açığı içeriyor.” Dedi.
Eksikliğe CVE tanımlayıcısı CVE-2025-31161 (CVSS puanı: 9.8) atandı. Aynı güvenlik açığının daha önce CVE-2025-2825 olarak izlendiğini belirterek, şimdi CVE listesinde reddedildi.
Geliştirme, kusurla ilişkili açıklama sürecinin tartışma ve karışıklığa karışmasından sonra gelir, vulncheck-bir CVE numaralandırma otoritesi (CNA) olması nedeniyle-bir tanımlayıcı (yani CVE-2025-2825) atanırken, gerçek CVE (IE, CVE-2025-31161) pisti olmuştur.
Kusurun satıcıya sorumlu bir şekilde ifşa edilmesiyle kredilendirilen Outpost24, 13 Mart 2025’te Geter’den bir CVE numarası talep ettiğini ve düzeltmelerin 90 günlük bir açıklama süresi içinde piyasaya sürülmesini sağlamak için crushftp ile koordine edildiğini açıklığa kavuşturdu.
Bununla birlikte, 27 Mart’a kadar, Miter CVE CVE-2025-31161 kusurunu atadı, bu sırada Vulncheck, sorumlu bir ifşa sürecinin devam edip etmediğini görmek için “Crushftp veya Outpost24” ile temasa geçmeden kendi CVE’yi serbest bıraktı.
İsveç siber güvenlik şirketi, o zamandan beri teknik özelliklerin çoğunu paylaşmadan istismarı tetiklemek için adım adım talimatlar yayınladı-
- Minimum 31 karakter uzunluğunda rastgele alfasayısal bir oturum jetonu oluşturun
- Adım 1’de oluşturulan değere curnrauth adlı bir çerez ayarlayın
- Adım 1’de oluşturulan değerin son 4 karakterine Currentauth adlı bir çerez ayarlayın
- Adım 2 ve 3’teki çerezlerle Hedef/WebInterface/Function/için bir HTTP GET isteği ve “AWS4-HMAC =
/,” Neresi kullanıcı olarak imzalanacak mı (örneğin, crusadmin)
Bu eylemlerin net bir sonucu, başlangıçta oluşturulan oturumun seçilen kullanıcı olarak kimlik doğrulaması yapılması ve bir saldırganın kullanıcının hakları olan komutları yürütmesine izin vermesidir.
CVE-2025-31161 için bir kavram kanıtı yeniden yaratan Huntress, 3 Nisan 2025’te CVE-2025-31161’in vahşi sömürüsünü gözlemlediğini ve örgü ajanı ve diğer kötü amaçların kullanımını içeren daha fazla işleme sonrası faaliyeti ortaya çıkardığını söyledi. Uzlaşmanın 30 Mart gibi erken bir tarihte gerçekleşmiş olabileceğini gösteren bazı kanıtlar var.
Siber güvenlik firması, bugüne kadar dört farklı şirketten dört farklı ev sahibi hedefleyen sömürü çabalarının gördüğünü ve etkilenenlerin üçünün aynı yönetilen servis sağlayıcı (MSP) tarafından barındırıldığını eklediğini söyledi. Etkilenen şirketlerin isimleri açıklanmadı, ancak pazarlama, perakende ve yarı iletken sektörlere aitler.
Tehdit aktörlerinin, AnyDesk ve Meshagent gibi meşru uzak masaüstü yazılımları kurmak için erişimin silahlandırılması ve aynı zamanda en az bir örnekte kimlik bilgilerini hasat etmek için adımlar attığı bulunmuştur.
Meshagent’i dağıttıktan sonra, saldırganların yerel yöneticiler grubuna admin olmayan bir kullanıcı (“crushuser”) ekledikleri ve açık kaynak kütüphanesi tgbot’un bir uygulaması olan başka bir C ++ ikili (“d3d11.dll”) teslim ettikleri söylenir.
Huntress araştırmacıları, “TT, tehdit aktörlerinin enfekte konakçılardan telemetri toplamak için bir telgraf botu kullanıyor olması muhtemeldir.” Dedi.
6 Nisan 2025 itibariyle, 487’si Kuzey Amerika’da ve Avrupa’da 250 tane bulunduğu, Kusura karşı savunmasız 815 kesintisiz durum var. Aktif sömürü ışığında, Federal Sivil Yürütme Şubesi (FCEB) ajanslarının ağlarını güvence altına almak için 28 Nisan’a kadar gerekli yamaları uygulamaları gerekmektedir.