09/04/25
Критическая уязвимость в продукте CrushFTP, активно эксплуатируемая злоумышленниками, теперь внесена Агентством по кибербезопасности и инфраструктурной безопасности США (CISA) в реестр KEV. Речь идёт о проблеме с обходом аутентификации, позволяющей атакующим получить полный контроль над уязвимыми экземплярами системы без ввода логина и пароля.
Уязвимость получила идентификатор CVE-2025-31161 с максимальной оценкой по шкале CVSS — 9.8. Проблема затрагивает механизм HTTP-авторизации и даёт возможность удалённому злоумышленнику подставить имя любого существующего пользователя, например «crushadmin», и войти в систему как этот пользователь, пишут в Securitylab. Исправления вышли в версиях 10.8.4 и 11.3.1.
Однако ситуация заметно осложнилась: не только с технической стороны, но и в связи с запутанной историей раскрытия уязвимости. Из-за того, что VulnCheck является полномочным органом по присвоению CVE-идентификаторов, компания зарегистрировала уязвимость как CVE-2025-2825 , в то время как окончательное решение MITRE появилось позднее, 27 марта, с новым номером — CVE-2025-31161 . В результате более ранний CVE был признан недействительным, что вызвало конфликт между VulnCheck, MITRE и разработчиком CrushFTP.
По данным компании Outpost24, которая первой сообщила о проблеме, запрос на получение CVE был отправлен в MITRE ещё 13 марта. Разработчик начал готовить обновления в рамках стандартного 90-дневного периода ответственного раскрытия. Тем временем VulnCheck, не дождавшись окончания процесса, самостоятельно опубликовала данные, не предупредив ни CrushFTP, ни Outpost24.
Позднее представители VulnCheck обвинили разработчиков в попытке скрыть информацию об уязвимости, сославшись на их просьбу не публиковать CVE в течение 90 дней. В свою очередь MITRE обвинили в затягивании раскрытия, несмотря на активную эксплуатацию уязвимости в реальной среде.
Тем временем в сети уже появились инструкции по эксплуатации уязвимости. Они включают генерацию специальной сессии и подмену авторизационных заголовков, что позволяет войти под любым пользователем, известным атакующему. Хотя технические детали атаки не раскрываются полностью, принципы работы эксплойта уже опубликованы исследователями.
Компания Huntress, которая успешно воспроизвела Proof-of-Concept, сообщила об обнаружении активной эксплуатации уязвимости с 3 апреля. При этом есть основания полагать, что первые атаки могли начаться ещё 30 марта. В настоящий момент известно о как минимум четырёх взломанных хостах, принадлежащих компаниям из сфер маркетинга, розничной торговли и производства полупроводников. Три из этих организаций обслуживаются одним и тем же провайдером управляемых сервисов (MSP).
После получения доступа злоумышленники устанавливают программы удалённого управления, включая AnyDesk и MeshAgent, а также предпринимают попытки кражи учётных данных. Кроме того, в одном случае была задействована библиотека «d3d11.dll» — модифицированная версия проекта TgBot. Предполагается, что атака использует Telegram-бота для сбора информации с заражённых машин.
