图片来源:watchTowr Labs
网络安全研究机构watchTowr Labs近日发布详细分析报告,披露了企业级跨平台文件传输服务器CrushFTP中存在一个零日认证绕过漏洞(CVE-2025-54309)。该漏洞已出现野外利用案例,攻击者可通过HTTP请求处理过程中的竞争条件(race condition)获取完整管理员权限。
漏洞技术细节
CrushFTP是企业机构用于通过FTP、SFTP、HTTP/S等协议安全共享和管理文件的传输服务器。根据CVE描述:"当未启用DMZ代理功能时,CrushFTP 10(早于10.8.5版本)和11(早于11.3.4_23版本)错误处理AS2验证机制,导致远程攻击者可通过HTTPS协议获取管理员权限,该漏洞已于2025年7月出现野外利用。"
虽然官方公告明确DMZ代理功能不受影响,但watchTowr指出:"获取CrushFTP管理员权限(例如内置用户crushadmin)将造成灾难性后果,攻击者可借此窃取敏感文件、创建恶意文件等。"
攻击手法分析
研究突破来自watchTowr专有的蜜罐网络Attacker Eye捕获的攻击尝试。分析显示攻击者会组合使用两个HTTP请求:
- 请求1:包含
AS2-TO: \crushadmin请求头,将会话对象设置为模拟内置管理员 - 请求2:快速跟进使用相同cookie执行
setUserItem函数,添加新的管理员账户
单独执行任一请求均不会成功。但watchTowr解释称:"在竞争条件下的组合使用才是关键。"当时间控制恰当时,请求[2]会以crushadmin身份执行,使攻击者能创建持久后门账户。
影响范围与应对措施
该漏洞已于2025年7月22日被列入CISA已知被利用漏洞(KEV)目录。watchTowr观察到大规模利用尝试,传感器记录到"1,190次请求[1]和1,192次请求[2]...几乎像是在相互竞赛(可能无意中对我们的传感器造成了DoS攻击)"。
ReliaQuest报告显示,该漏洞在公开前就已被犯罪分子在地下论坛出售。为帮助防御者验证风险,watchTowr在GitHub发布了检测特征生成器,其概念验证(PoC)不会创建后门账户,而是通过提取用户列表确认漏洞存在。
建议采取以下缓解措施:
- 立即升级至CrushFTP 10.8.5或11.3.4_23版本
- 监控HTTP日志中重复出现的包含
AS2-TO: \crushadmin请求头的配对请求 - 检查是否存在未授权的管理员账户
扫一扫
21
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
