Uma vulnerabilidade crítica de segurança recentemente divulgada, que afeta o CrushFTP, foi adicionada ao catálogo de Vulnerabilidades Exploradas Conhecidas (Known Exploited Vulnerabilities - KEV) pela Agência de Segurança da Infraestrutura e Cibersegurança dos EUA (U.S.
Cybersecurity and Infrastructure Security Agency - CISA) após relatos de exploração ativa "no mundo real".
A vulnerabilidade consiste em uma falha de bypass de autenticação, que poderia permitir a um atacante não autenticado assumir o controle de instâncias suscetíveis.
Ela foi corrigida nas versões 10.8.4 e 11.3.1.
"O CrushFTP contém uma vulnerabilidade de bypass de autenticação no cabeçalho de autorização HTTP, que permite a um atacante remoto não autenticado autenticar-se em qualquer conta de usuário conhecida ou suposta (por exemplo, crushadmin), potencialmente levando a um comprometimento total", disse a CISA em um comunicado.
A falha foi designada com o identificador CVE
CVE-2025-31161
(pontuação CVSS: 9.8).
Vale ressaltar que a mesma vulnerabilidade foi previamente acompanhada como
CVE-2025-2825
, que agora foi marcada como Rejeitada na lista de CVEs.
O desenvolvimento ocorre após o processo de divulgação associado à falha ter se envolvido em controvérsia e confusão, com a VulnCheck – por ser uma Autoridade de Numeração CVE (CVE Numbering Authority - CNA) – tendo atribuído um identificador (ou seja,
CVE-2025-2825
), enquanto o CVE real (ou seja,
CVE-2025-31161
) estava pendente.
A Outpost24, que é creditada por divulgar responsavelmente a falha ao fornecedor, interveio para esclarecer que solicitou um número CVE ao MITRE em 13 de março de 2025 e que estava coordenando com o CrushFTP para garantir que as correções fossem implementadas dentro de um período de divulgação de 90 dias.
No entanto, não foi até 27 de março que o MITRE atribuiu à falha o CVE
CVE-2025-31161
, momento em que a VulnCheck já havia liberado um CVE próprio sem contatar "o CrushFTP ou a Outpost24 previamente para verificar se um processo de divulgação responsável já estava em andamento".
A empresa sueca de cibersegurança desde então liberou instruções passo a passo para acionar a exploração sem compartilhar muitos dos detalhes técnicos:
- Gerar um token de sessão alfanumérico aleatório com no mínimo 31 caracteres de comprimento;
- Definir um cookie chamado CrushAuth com o valor gerado no passo 1;
- Definir um cookie chamado currentAuth com os últimos 4 caracteres do valor gerado no passo 1;
- Realizar uma solicitação HTTP GET para o alvo /WebInterface/function/ com os cookies dos passos 2 e 3, bem como um cabeçalho de Autorização configurado para "AWS4-HMAC=<username>/," onde <username> é o usuário a ser autenticado (por exemplo, crushadmin).
O resultado líquido dessas ações é que a sessão gerada no início é autenticada como o usuário escolhido, permitindo a um atacante executar quaisquer comandos que o usuário tenha direitos.
A Huntress, que recriou um conceito prova de conceito para o
CVE-2025-31161
, disse que observou exploração na prática do
CVE-2025-31161
em 3 de abril de 2025 e que descobriu atividades pós-exploração envolvendo o uso do agente MeshCentral e outros malwares.
Há evidências que sugerem que o comprometimento pode ter ocorrido tão cedo quanto 30 de março.
A firma de cibersegurança disse que viu esforços de exploração mirando quatro hosts distintos de quatro empresas diferentes até o momento, adicionando que três desses afetados estavam hospedados pelo mesmo provedor de serviços gerenciados (MSP).
Os nomes das companhias impactadas não foram divulgados, mas pertencem aos setores de marketing, varejo e semicondutores.
Os atores de ameaças foram encontrados fazendo uso do acesso para instalar software legítimo de desktop remoto, como AnyDesk e MeshAgent, enquanto também tomavam medidas para coletar credenciais em pelo menos um caso.
Após implantar o MeshAgent, diz-se que os atacantes adicionaram um usuário não-administrador ("CrushUser") ao grupo de administradores locais e entregaram outro binário C++ ("d3d11.dll"), uma implementação da biblioteca de código aberto TgBot.
"É provável que os atores de ameaças estejam fazendo uso de um bot do Telegram para coletar telemetria de hosts infectados", disseram os pesquisadores da Huntress.
Em 6 de abril de 2025, existem 815 instâncias não corrigidas vulneráveis à falha, com 487 delas localizadas na América do Norte e 250 na Europa.
Diante da exploração ativa, as agências do Ramo Executivo Federal Civil (Federal Civilian Executive Branch - FCEB) são obrigadas a aplicar os patches necessários até 28 de abril para garantir a segurança de suas redes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...