Se ha revelado una falla de seguridad crítica recientemente revelada que se ha impactado agregado por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a sus conocidas vulnerabilidades explotadas (Kev) Catálogo después de que surgieron informes de explotación activa en la naturaleza.
El vulnerabilidad es un caso de bypass de autenticación que podría permitir que un atacante no autenticado se haga cargo de instancias susceptibles. Ha sido fijado En las versiones 10.8.4 y 11.3.1.
“CrushFTP contiene una vulnerabilidad de derivación de autenticación en el encabezado de autorización HTTP que permite que un atacante remoto no autenticado se autentique en cualquier cuenta de usuario conocida o adivinable (por ejemplo, Crushadmin), lo que puede conducir a un compromiso total”, dijo CISA en un asesor.
A la deficiencia se le ha asignado el identificador CVE CVE-2025-31161 (Puntuación CVSS: 9.8). Llega a señalar que la misma vulnerabilidad se rastreaba previamente como CVE-2025-2825que ahora ha sido marcado rechazado en la lista CVE.
El desarrollo se produce después de que el proceso de divulgación asociado con la falla se ha enredado en controversia y confusión, con Vulncheck, debido a que es una autoridad de numeración de CVE (CNA), se asignó un identificador (es decir, CVE-2025-2825), mientras que el CVE real (es decir, CVE-2011611) había sido pendiendo.
OUTPOST24, que se acredita por revelar responsablemente el defecto al proveedor, ha intervino Para aclarar que solicitó un número CVE de Miter el 13 de marzo de 2025, y que estaba coordinando con CrushFTP para garantizar que las soluciones se implementaran dentro de un período de divulgación de 90 días.
Sin embargo, no fue hasta el 27 de marzo que Miter asignó el defecto el CVE CVE-2025-31161, cuando Vulncheck había lanzado un CVE propio sin contactar “Crushftp o Outpost24 antes para ver si un proceso de divulgación responsable ya estaba en marcha”.
Desde entonces, la compañía sueca de ciberseguridad ha publicado instrucciones paso a paso para activar la exploit sin compartir gran parte de los detalles técnicos,
- Genere una token de sesión alfanumérica aleatoria de un mínimo de 31 caracteres de longitud
- Establezca una cookie llamada CrushAuth al valor generado en el paso 1
- Establezca una cookie llamada CurrentAuth a los últimos 4 caracteres del valor generado en el paso 1
- Realice una solicitud HTTP GET para el destino/Interfaz de web/función/con las cookies de los pasos 2 y 3, así como un encabezado de autorización establecido en “AWS4-HMAC =
/,” dónde El usuario se registra como (por ejemplo, Crushadmin)
Un resultado neto de estas acciones es que la sesión generada al principio se autentica como el usuario elegido, lo que permite a un atacante ejecutar cualquier comando que el usuario tenga derechos.
Huntress, que recreó una prueba de concepto para CVE-2025-31161, dicho Observó la explotación en el flujo de CVE-2025-31161 el 3 de abril de 2025, y que descubrió una actividad posterior a la explotación que implica el uso de agentes malvados y otro malware. Hay alguna evidencia que sugiere que el compromiso puede haber ocurrido tan pronto como el 30 de marzo.
La firma de ciberseguridad dijo que ha visto esfuerzos de explotación dirigidos a cuatro anfitriones distintos de cuatro compañías diferentes hasta la fecha, y agregó que tres de los afectados fueron alojados por el mismo proveedor de servicios administrados (MSP). No se revelaron los nombres de las empresas impactadas, pero pertenecen a los sectores de marketing, venta minorista y semiconductores.
Se ha descubierto que los actores de amenaza arman el acceso para instalar software de escritorio remoto legítimo como Anydesk y Meshagent, al tiempo que toman medidas para cosechar credenciales en al menos un caso.
Después de implementar Meshagent, se dice que los atacantes agregaron a un usuario no administrador (“Crushuser”) al grupo de administradores locales y entregaron otro binario C ++ (“D3D11.DLL”), una implementación de la biblioteca de código abierto Tgbot.
“Es probable que TT sea la amenaza que los actores están haciendo uso de un bot de telegrama para recolectar telemetría de anfitriones infectados”, dijeron los investigadores de Huntress.
A partir del 6 de abril de 2025, hay 815 instancias sin parpadear Vulnerable al defecto, con 487 de ellos ubicados en América del Norte y 250 en Europa. A la luz de la explotación activa, las agencias de la rama ejecutiva civil federal (FCEB) deben aplicar los parches necesarios antes del 28 de abril para asegurar sus redes.
About the Author
