Silahlı bir kavram kanıtı, crushftp dosya aktarım sunucularını etkileyen ciddi bir kimlik doğrulama baypası güvenlik açığı olan CVE-2025-54309’u hedefleyen kamuya açık bir şekilde yayınlanmıştır.
Kusur, uzak saldırganların AS2 doğrulama işlemindeki bir yarış koşulu yoluyla idari ayrıcalıklar kazanmalarını sağlar ve kimlik doğrulama mekanizmalarını tamamen atlatır.
Key Takeaways
1. Race-condition exploit lets attackers bypass CrushFTP authentication.
2. Public PoC on GitHub confirms vulnerable instances without adding backdoors.
3. Upgrade, enable DMZ proxy, and watch for POST spikes.
İlk olarak Temmuz 2025’te vahşi doğada sömürülen güvenlik açığı, DMZ proxy özelliği devre dışı kaldığında 11.3.4_23’ten önce 10.8.5 ve 11’den önce Crushftp sürümlerini etkiler.
Crushftp 0 günlük güvenlik açığı
18 Temmuz 2025’te yayınlanan satıcı Postmortem, crushftp örneklerinin aktif hedeflenmesini kabul etti, ancak kullanıcıları hiç açıklanmayan sessiz bir yama uygulayamadıkları için suçladı.
Çevrimiçi olarak 30.000’den fazla örnekle, saldırganlar HTTPS aracılığıyla idari erişim elde etmek için AS2 validasyonunun yanlış kullanılmasından yararlandı.
Özellikle, kusur WebInterface/ Function/ Endpoint’te bulunur;
İstek 1 (AS2-TO: \ Cruscadmin başlığı ile) ve ardından İstek 2’yi (başlığı atlayarak ancak aynı oturum çerezlerini yeniden kullanan) yayınlayarak, saldırganlar yerleşik Curnadmin kullanıcısını taklit eden ve SetUSerItem’i yeni bir yönetim hesabı oluşturmak için başarılı bir şekilde çağıran bir yarış koşulu kazanırlar.
Bağımsız istekler 404 döndürür, ancak yüksek eşzamanlılıkta yürütüldüğünde, Request 2, idari kullanıcı oluşturmayı onaylayan 200 OK yanıtını döndürür.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Crushftp 10 10.8.5’ten önceki sürümler Crushftp 11 11.3.4_23’ten önce versiyonlar |
| Darbe | Kimlik Doğrulama Bypass, Uzak Kod Yürütme |
| Önkoşuldan istismar | DMZ Proxy özelliği devre dışı; Sıralı HTTPS Gönderme Gönderme Gönderme İsteğivalid Crushauth ve Currentauth Çerezleri |
| CVSS 3.1 puanı | 9.8 (kritik) |
POC istismarı
WatchTowr Labs, GitHub’da tamamen işlevsel bir POC istismarı yayınladı ve güvenlik ekiplerinin kalıcı arka fırınlar eklemeden savunmasız crushftp örneklerini doğrulamasını sağladı.
POC, sömürüyü onaylamak için kullanıcı listesini çıkarır:
Ek olarak, araştırmacılar/WebInterface/Function/tekrarlayan AS2-to ve çerez desenleri ile anormal sivri uçların izlenmesini önerir.
Güvenlik ekipleri, bu yarış koşuluyla eşleşen izinsiz giriş algılama imzaları dağıtmalı ve yüksek frekanslı sömürü denemelerini azaltmak için ağ oran sınırlamasını uygulamalıdır.
Azaltma şunları içerir:
- Crushftp 10.8.5 veya 11.3.4_23’e (veya daha sonra) yükseltme.
- Daha önce yapılandırılmamışsa DMZ Proxy özelliğini etkinleştirin.
- Yönetimsel kullanıcı eklemelerini denetleyin ve oturum yeniden kullanım kalıplarını doğrulayın.
Crushftp’den yararlanan kuruluşlar, CVE-2025-54309’u kritik bir risk olarak ele almalı ve vahşi sömürüye karşı savunmak için hızla hareket etmelidir.
Güvenlik ve uyumluluk anketleri için formları doldurmaktan bıktınız mı? Onları 1up ile birkaç dakika içinde otomatikleştirin! Ücretsiz denemenize şimdi başlayın!