MS-ISAC 安全通告编号：2025-032

发布日期： 2025年3月27日

概述

CrushFTP中发现了一个可能导致未授权访问的漏洞。CrushFTP是一款专有的多协议、多平台文件传输服务器。若启用CrushFTP的DMZ功能可缓解此漏洞。成功利用此漏洞可能允许攻击者远程控制受感染服务器并执行远程代码。攻击者可随后安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。

威胁情报

目前未发现该漏洞在野利用的报告。

受影响系统

CrushFTP v10 和 v11 版本。

风险等级

• 政府机构：
  • 大型和中型政府实体：高
  • 小型政府实体：中
• 企业：
  • 大型和中型企业实体：高
  • 小型企业实体：中
• 家庭用户： 低

技术详情

CrushFTP中发现了一个可能导致未授权访问的漏洞。漏洞细节如下：

战术：初始访问（TA0001）
技术：利用公开 facing 应用程序（T1190）

CrushFTP Web界面上暴露的HTTP(S)端口可能导致未认证访问。若启用CrushFTP的DMZ功能可缓解此漏洞。成功利用可能允许攻击者远程控制服务器并执行代码，进而安装程序、操作数据或创建特权账户。

防护建议

建议采取以下措施：

1. 立即应用补丁
   在适当测试后，立即为受影响系统应用CrushFTP或其他使用该软件供应商提供的更新。（M1051：更新软件）

2. 漏洞管理流程

   • 维护企业资产的漏洞管理流程（保障措施7.1）
   • 建立基于风险的修复策略，每月审查（保障措施7.2）
   • 每月执行自动化应用补丁管理（保障措施7.4）
   • 季度执行自动化内部漏洞扫描（保障措施7.5）
   • 每月修复检测到的漏洞（保障措施7.7）

3. 网络基础设施更新
   确保网络基础设施保持最新，每月审查软件版本（保障措施12.1）

4. 渗透测试计划

   • 建立渗透测试计划（保障措施18.1）
   • 每年执行外部渗透测试（保障措施18.2）
   • 根据策略修复测试发现（保障措施18.3）

5. 最小权限原则
   所有系统和服务运行在非特权用户下，管理默认账户和服务账户清单（保障措施4.7、5.5）

6. 漏洞扫描
   使用漏洞扫描发现可利用漏洞（M1016），对关键应用进行渗透测试（保障措施16.13）

7. 网络分段
   使用DMZ隔离面向互联网的服务，配置独立VPC实例隔离关键云系统（M1030），建立安全网络架构（保障措施12.2）

8. 利用防护功能
   启用反利用功能如DEP、WDEG、SIP等（保障措施10.5）

参考链接

• Bleeping Computer
• CVE-2025-2825
• CrushFTP更新指南

订阅 advisories 信息中心获取此类网络威胁的邮件更新