Güvenlik araştırmacıları, kavram kanıtı sömürü kodunun halka açıklanmasının ardından Crushftp’deki (CVE-2025-2825) kritik kimlik doğrulama baypas güvenlik açığını hedefleyen aktif sömürü girişimlerini doğruladılar.
Shadowserver Foundation’ın en son izleme verilerine dayanarak, yaklaşık 1.512 açılmamış örnek 30 Mart 2025 itibariyle küresel olarak savunmasız kalıyor ve Kuzey Amerika bu açık sunucuların çoğunluğuna (891) ev sahipliği yapıyor.
CVSS skoru 9.8 taşıyan güvenlik açığı, Crushftp sürümlerini 10.0.0 ila 10.8.3 ve 11.0.0 ila 11.3.0 sürümlerini etkiler.
İlk olarak 26 Mart 2025’te açıklanan, kimlik doğrulanmamış uzak saldırganların özel olarak hazırlanmış bir HTTP isteği ile kimlik doğrulamasını atlamasına izin vererek, potansiyel olarak tam sistem uzlaşmasına yol açar.
Shadowserver Foundation, son danışmanlarında “Crushftp CVE-2025-2825 Sömürü Sömürü girişimlerini halka açık POC istismar koduna dayalı olarak gözlemliyoruz” dedi.
“Dünya çapında ~ 1800’ün tamamlanmamış örneği görüyoruz, ABD’de 900’den fazla.”
İstismarın teknik detayları
ProjectDiscovery’deki güvenlik araştırmacıları, saldırganların nispeten basit üç aşamalı bir süreç kullanarak güvenlik açığını nasıl kullanabileceğini gösteren ayrıntılı bir analiz yayınladı:
Saldırı üç kritik bileşenden yararlanır:
- Crushftp’in S3 protokolü kullanmasını varsayılan “crushadmin” kullanıcı adı ile kullanan sahte bir AWS başlığı
- Belirli bir 44 karakterli crushauth değerine sahip fabrikasyon bir kurabiye
- Parola Parametresini Kullanarak Parametre Manipülasyonu Şifre doğrulama kontrollerini atlamak için
Güvenlik açığı, sistemin uygun şifre doğrulaması olmadan geçerli olarak “Crusmadmin/” kimlik bilgilerini yanlış kabul ettiği S3 tarzı istekleri işlerken kusurlu kimlik doğrulama mantığından kaynaklanır.
Shadowserver’ın izleme panosundaki en son veriler, Avrupa’nın 490’da en büyük ikinci sayıda savunmasız örneği, ardından Asya (62), Okyanusya (45) ve her biri 12 örneğin hem Güney Amerika hem de Afrika’yı barındırdığını gösteriyor.
Azaltma stratejileri
Crushftp, güvenlik açığını ele alan kritik düzeltmelerle 11.3.1 sürümünü yayınladı:
- Güvensiz S3 Parola Arama Varsayılan olarak devre dışı bırakma
- Güvenlik parametresi ekleme “S3_AUTH_OLOWUP_PASSWord_Supported = false”
- Doğru kimlik doğrulama akış kontrollerinin uygulanması
Güvenlik uzmanları birkaç acil eylem önermektedir:
- Crushftp sürüm 11.3.1+ veya 10.8.4+ derhal yükseltme
- Hemen yama mümkün değilse, DMZ özelliğini geçici bir azaltma olarak etkinleştirin
- ProjectDiscovery’nin Ücretsiz Algılama Aracı Kullanın: Nuclei -t https://cloud.projectdiscovery.io/public/cve-2025-2825
- /WebInterface/Function/adresine şüpheli Get istekleri için denetim sunucusu günlükleri
Bu güvenlik açığı, CVE-2023-43177 de dahil olmak üzere Crushftp’deki önceki güvenlik sorunlarını takip eder ve bu da benzer şekilde kimlik doğrulanmamış saldırganların dosyalara erişmesine ve keyfi kod yürütmesine izin verir.
Saldırganlar, bu kritik altyapı bileşenlerini kurumsal ağlara giriş puanı olarak hedeflemeye devam ettikçe, dosya aktarım çözümlerindeki tekrarlayan kimlik doğrulama güvenlik açıklarının paterni, ilgili bir eğilimi yansıtmaktadır. Kuruluşların bu güvenlik açığının derhal yamalanmasına öncelik vermeleri istenir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free