.webp?w=696&resize=696,0&ssl=1 "Crushftp 0 günlük teknik detaylar poc yayınlandı")
Crushftp’de önemli bir sıfır günlük güvenlik açığı açıklanmıştır ve bu da kimlik doğrulanmamış saldırganların savunmasız sunucularda tam uzaktan kod yürütülmesine izin vermiştir.
CVE-2025-54309 olarak izlenen ve CVSS ölçeğinde kritik bir 9.8 puan alan kusur, CrushftP’nin DMZ proxy konfigürasyonundaki güvenlik kontrollerinde temel bir dökümden kaynaklanmaktadır.
Güvenlik araştırmacıları, anında koruyucu önlemler uygulamak için crushftp çalıştıran kuruluşların aciliyetini önemli ölçüde artıran konsept kanıtı istismar kodu yayınladılar.
Key Takeaways
1. CVE-2025-54309 allows unauthenticated remote code execution on CrushFTP servers.
2. Exploits use malicious XML payloads to bypass authentication and execute system commands.
3. Public exploit code available - immediate patching required.
Güvenlik açığının teknik detayları
Pwn.Guide Danışmanlığına göre, temel güvenlik açığı, Crushftp’in/webterface/function/admin uç noktasına talepleri doğru bir şekilde doğrulamamasıdır.
Normal işlemlerde, DMZ proxy, dahili yönetici sunucularını genel İnternet erişiminden koruyan güvenli bir ağ geçidi olarak hareket etmelidir.
Bununla birlikte, özel olarak hazırlanmış HTTP post isteklerini işlerken bu güvenlik mekanizması tamamen başarısız olur ve saldırganların kimlik doğrulamasını tamamen atlamasına izin verir.
Birincil sömürü yöntemi, keyfi sistem komutlarını yürütmek için XML-RPC (XML uzaktan kumanda prosedür çağrısı) protokolünden yararlanır.
Saldırganlar, işletim sistemi komutlarını doğrudan yürütmek için System.exec işlev çağrısı içeren kötü amaçlı XML yükleri gönderebilir. Tipik bir saldırı yükü şu şekilde görünür:
Bu güvenlik açığı, üç temel faktör nedeniyle kritik CVSS 9.8 derecesine ulaşır: kimlik doğrulama gereksinimi yok, internette herhangi bir yerden uzaktan erişilebilirlik ve tam sistem RCE özellikleri yoluyla uzlaşır.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | DMZ Proxy Yapılandırması ile Crushftp Sunucuları |
| Darbe | Uzak Kod Yürütme (RCE) |
| Önkoşuldan istismar | – Kimlik doğrulama gerekmez-/webinterface/function/uç nokta- http post özelliğine ağ erişimi- xml-rpc yükü hazırlama |
| CVSS 3.1 puanı | 9.8 (kritik) |
Konsept Sömürü Kanıtı
Güvenlik araştırmacıları GitHub’da kapsamlı bir POC senaryosu yayınladılar. İstismar aracı, doğrudan XML-RPC komut yürütmesi, giriş formları aracılığıyla komut enjeksiyonu ve kötü amaçlı dosya yüklemeleri dahil olmak üzere birden fazla saldırı vektörünü destekler.
Temel sömürü komut yapısı şu şekildedir: python3 istismar.py 192.168.1.100 -c “uname -a”, burada komut dosyası XML -RPC yükleri üretir ve bunları savunmasız/webterface/function/uç noktaya iletir.
Gelişmiş saldırı modları, –Recon bayrakları ile keşif taraması ve komut enjeksiyon saldırıları için cmd_inject gibi alternatif yük türlerini içerir.
Crushftp çalıştıran kuruluşlar, yönetici uç noktalarına yetkisiz erişimi engellemek, mevcut satıcı yamalarını uygulamak ve/webterface/işlevini/yolunu hedefleyen şüpheli XML-RPC isteklerini izlemek için hemen ağ düzeyinde kısıtlamalar uygulamalıdır.
Kamu POC kullanılabilirliği ve kırılganlığın ciddi etkisi kombinasyonu, bunu yaygın sömürü kampanyaları için birincil bir hedef haline getirir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches