Se ha revelado una falla de seguridad cr\u00edtica recientemente revelada que se ha impactado agregado<\/a> por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a sus conocidas vulnerabilidades explotadas (Kev<\/a>) Cat\u00e1logo despu\u00e9s de que surgieron informes de explotaci\u00f3n activa en la naturaleza.<\/p>\n El vulnerabilidad<\/a> es un caso de bypass de autenticaci\u00f3n que podr\u00eda permitir que un atacante no autenticado se haga cargo de instancias susceptibles. Ha sido fijado<\/a> En las versiones 10.8.4 y 11.3.1.<\/p>\n “CrushFTP contiene una vulnerabilidad de derivaci\u00f3n de autenticaci\u00f3n en el encabezado de autorizaci\u00f3n HTTP que permite que un atacante remoto no autenticado se autentique en cualquier cuenta de usuario conocida o adivinable (por ejemplo, Crushadmin), lo que puede conducir a un compromiso total”, dijo CISA en un asesor.<\/p>\n A la deficiencia se le ha asignado el identificador CVE CVE-2025-31161<\/a> (Puntuaci\u00f3n CVSS: 9.8). Llega a se\u00f1alar que la misma vulnerabilidad se rastreaba previamente como CVE-2025-2825<\/a>que ahora ha sido marcado rechazado en la lista CVE.<\/p>\n El desarrollo se produce despu\u00e9s de que el proceso de divulgaci\u00f3n asociado con la falla se ha enredado en controversia y confusi\u00f3n, con Vulncheck, debido a que es una autoridad de numeraci\u00f3n de CVE (CNA), se asign\u00f3 un identificador (es decir, CVE-2025-2825), mientras que el CVE real (es decir, CVE-2011611) hab\u00eda sido pendiendo.<\/p>\n OUTPOST24, que se acredita por revelar responsablemente el defecto al proveedor, ha intervino<\/a> Para aclarar que solicit\u00f3 un n\u00famero CVE de Miter el 13 de marzo de 2025, y que estaba coordinando con CrushFTP para garantizar que las soluciones se implementaran dentro de un per\u00edodo de divulgaci\u00f3n de 90 d\u00edas.<\/p>\n Sin embargo, no fue hasta el 27 de marzo que Miter asign\u00f3 el defecto el CVE CVE-2025-31161, cuando Vulncheck hab\u00eda lanzado un CVE propio sin contactar “Crushftp o Outpost24 antes para ver si un proceso de divulgaci\u00f3n responsable ya estaba en marcha”.<\/p>\n Desde entonces, la compa\u00f1\u00eda sueca de ciberseguridad ha publicado instrucciones paso a paso para activar la exploit sin compartir gran parte de los detalles t\u00e9cnicos,<\/p>\n Un resultado neto de estas acciones es que la sesi\u00f3n generada al principio se autentica como el usuario elegido, lo que permite a un atacante ejecutar cualquier comando que el usuario tenga derechos.<\/p>\n Huntress, que recre\u00f3 una prueba de concepto para CVE-2025-31161, dicho<\/a> Observ\u00f3 la explotaci\u00f3n en el flujo de CVE-2025-31161 el 3 de abril de 2025, y que descubri\u00f3 una actividad posterior a la explotaci\u00f3n que implica el uso de agentes malvados y otro malware. Hay alguna evidencia que sugiere que el compromiso puede haber ocurrido tan pronto como el 30 de marzo.<\/p>\n La firma de ciberseguridad dijo que ha visto esfuerzos de explotaci\u00f3n dirigidos a cuatro anfitriones distintos de cuatro compa\u00f1\u00edas diferentes hasta la fecha, y agreg\u00f3 que tres de los afectados fueron alojados por el mismo proveedor de servicios administrados (MSP). No se revelaron los nombres de las empresas impactadas, pero pertenecen a los sectores de marketing, venta minorista y semiconductores. <\/p>\n Se ha descubierto que los actores de amenaza arman el acceso para instalar software de escritorio remoto leg\u00edtimo como Anydesk y Meshagent, al tiempo que toman medidas para cosechar credenciales en al menos un caso.<\/p>\n Despu\u00e9s de implementar Meshagent, se dice que los atacantes agregaron a un usuario no administrador (“Crushuser”) al grupo de administradores locales y entregaron otro binario C ++ (“D3D11.DLL”), una implementaci\u00f3n de la biblioteca de c\u00f3digo abierto Tgbot<\/a>.<\/p>\n “Es probable que TT sea la amenaza que los actores est\u00e1n haciendo uso de un bot de telegrama para recolectar telemetr\u00eda de anfitriones infectados”, dijeron los investigadores de Huntress.<\/p>\n A partir del 6 de abril de 2025, hay 815 instancias sin parpadear<\/a> Vulnerable al defecto, con 487 de ellos ubicados en Am\u00e9rica del Norte y 250 en Europa. A la luz de la explotaci\u00f3n activa, las agencias de la rama ejecutiva civil federal (FCEB) deben aplicar los parches necesarios antes del 28 de abril para asegurar sus redes.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/CISA-agrega-vulnerabilidad-de-CrushFTP-al-catalogo-de-KEV-despues.jpg\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\n<\/a><\/center><\/div>\n