CrushFTP漏洞可能导致未经授权访问

本文详细分析了CrushFTP文件传输服务器中发现的未授权访问漏洞(CVE-2025-2825),影响v10和v11版本,攻击者可远程控制服务器执行代码,并提供了完整的技术细节和修复建议。

CrushFTP漏洞可能导致未经授权访问

MS-ISAC 咨询编号:2025-032
发布日期:2025年3月27日

概述

在CrushFTP中发现了一个漏洞,可能导致未经授权的访问。CrushFTP是一个专有的多协议、多平台文件传输服务器。如果启用了CrushFTP的DMZ功能,该漏洞可以得到缓解。成功利用此漏洞可能允许攻击者远程控制受感染的服务器并执行远程代码。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。

威胁情报

目前没有关于该漏洞在野外被利用的报告。

受影响系统

CrushFTP v10和v11版本。

风险等级

  • 政府机构
    • 大型和中型政府实体:高
    • 小型政府实体:中
  • 企业
    • 大型和中型企业实体:高
    • 小型企业实体:中
  • 家庭用户:低

技术摘要

在CrushFTP中发现了一个漏洞,可能导致未经授权的访问。漏洞详情如下:

策略:初始访问(TA0001)
技术:利用面向公众的应用程序(T1190)

CrushFTP Web界面上暴露的HTTP(S)端口可能导致未经身份验证的访问。如果启用了CrushFTP的DMZ功能,该漏洞可以得到缓解。

成功利用此漏洞可能允许攻击者远程控制受感染的服务器并执行远程代码。攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。

建议措施

我们建议采取以下行动:

  1. 应用适当更新:在适当测试后,立即为易受攻击的系统应用CrushFTP或其他使用该软件的供应商提供的适当更新。(M1051:更新软件)

    • 保障措施7.1:建立和维护漏洞管理流程:为企业资产建立和维护文档化的漏洞管理流程。每年或在发生可能影响此保障措施的重大企业变更时审查和更新文档。
    • 保障措施7.2:建立和维护修复流程:建立和维护基于风险的修复策略,并在修复流程中记录,每月或更频繁地进行审查。
    • 保障措施7.4:执行自动化应用程序补丁管理:通过每月或更频繁的自动化补丁管理,对企业资产执行应用程序更新。
    • 保障措施7.5:执行内部企业资产的自动化漏洞扫描:每季度或更频繁地执行内部企业资产的自动化漏洞扫描。使用符合SCAP的漏洞扫描工具进行身份验证和非身份验证扫描。
    • 保障措施7.7:修复检测到的漏洞:根据修复流程,每月或更频繁地通过流程和工具修复软件中检测到的漏洞。
    • 保障措施12.1:确保网络基础设施是最新的:确保网络基础设施保持最新。示例实施包括运行最新的稳定软件版本和/或使用当前支持的网络即服务(NaaS)产品。每月或更频繁地审查软件版本以验证软件支持。

  2. 建立和维护渗透测试计划:建立和维护适合企业规模、复杂性和成熟度的渗透测试计划。(保障措施18.1)

    • 保障措施18.2:根据计划要求执行定期外部渗透测试,每年至少一次。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验,必须由合格方进行。测试可以是白盒或黑盒。
    • 保障措施18.3:根据企业的修复范围和优先级策略修复渗透测试发现的问题。

  3. 应用最小权限原则:对所有系统和服务应用最小权限原则。以非特权用户(无管理权限的用户)身份运行所有软件,以减少成功攻击的影响。(M1026:特权账户管理)

    • 保障措施4.7:管理企业资产和软件上的默认账户:管理企业资产和软件上的默认账户,例如root、管理员和其他预配置的供应商账户。示例实施包括禁用默认账户或使其无法使用。
    • 保障措施5.5:建立和维护服务账户清单:建立和维护服务账户清单。清单至少必须包含部门所有者、审查日期和目的。定期执行服务账户审查以验证所有活动账户是否已授权,至少每季度或更频繁地进行。

  4. 漏洞扫描:使用漏洞扫描来发现潜在可利用的软件漏洞并进行修复。(M1016:漏洞扫描)

    • 保障措施16.13:执行应用程序渗透测试:执行应用程序渗透测试。对于关键应用程序,身份验证渗透测试比代码扫描和自动化安全测试更适合发现业务逻辑漏洞。渗透测试依赖于测试人员的技能,以身份验证和非身份验证用户身份手动操作应用程序。

  5. 网络分段:架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问可能敏感的系统信息。使用DMZ来容纳任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云(VPC)实例以隔离关键云系统。(M1030:网络分段)

    • 保障措施12.2:建立和维护安全的网络架构:建立和维护安全的网络架构。安全的网络架构必须至少解决分段、最小权限和可用性问题。

  6. 利用保护:使用功能来检测和阻止可能导致或指示软件利用发生的条件。(M1050:利用保护)

    • 保障措施10.5:启用反利用功能:尽可能在企业资产和软件上启用反利用功能,例如Microsoft®数据执行保护(DEP)、Windows® Defender Exploit Guard(WDEG)或Apple®系统完整性保护(SIP)和Gatekeeper™。

参考资料

  • Bleeping Computer:https://www.bleepingcomputer.com/news/security/crushftp-warns-users-to-patch-unauthenticated-access-flaw-immediately/
  • CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-2825
  • CrushFTP:https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次