安全研究人員證實，在概念驗證（PoC）利用代碼公開后，針對CrushFTP關鍵身份驗證繞過漏洞（CVE-2025-2825）的攻擊嘗試已經開始活躍。

根據Shadowserver基金會最新監測數據，截至2025年3月30日，全球仍有約1512個未打補丁的實例處于暴露狀態，其中北美地區占比最高（891臺）。

該漏洞CVSS評分為9.8分，影響CrushFTP 10.0.0至10.8.3版本以及11.0.0至11.3.0版本。

該漏洞于2025年3月26日首次披露，攻擊者可通過構造特殊的HTTP請求繞過身份驗證，最終可能導致系統完全淪陷。

"我們觀察到基于公開PoC利用代碼的CrushFTP CVE-2025-2825漏洞利用嘗試，"Shadowserver基金會在最新公告中表示，"全球約有1800個未修復實例，其中美國超過900個。"

我們觀察到基于公開PoC利用代碼的CrushFTP CVE-2025-2825漏洞利用嘗試。您可以通過我們的儀表板追蹤攻擊嘗試https://t.co/PNW2ZzS9Gy截至2025-03-30仍有1512個未修復實例易受CVE-2025-2825影響https://t.co/PNW2ZzS9Gy https://t.co/w0CkIHWxk8 pic.twitter.com/MCFnwsjmP0

— The Shadowserver Foundation (@Shadowserver) 2025年3月31日

漏洞利用技術細節

ProjectDiscovery安全研究人員發布詳細分析報告，揭示攻擊者可通過相對簡單的三步流程利用該漏洞：

攻擊利用三個關鍵組件：

• 偽造的AWS標頭，利用CrushFTP默認"crushadmin"用戶名處理S3協議
• 包含特定44字符CrushAuth值的偽造cookie
• 使用c2f參數繞過密碼驗證檢查的參數操控

該漏洞源于處理S3風格請求時的認證邏輯缺陷，系統錯誤地將"crushadmin/"憑證視為有效而不進行正確的密碼驗證。

Shadowserver監控儀表板最新數據顯示，歐洲以490個易受攻擊實例位居第二，其次是亞洲（62個）、大洋洲（45個），南美和非洲各有12個。

緩解措施

CrushFTP已發布11.3.1版本，通過以下方式修復漏洞：

• 默認禁用不安全的S3密碼查找
• 新增安全參數"s3_auth_lookup_password_supported=false"
• 實施正確的認證流程檢查

安全專家建議立即采取以下措施：

• 立即升級至CrushFTP 11.3.1+或10.8.4+版本
• 若無法立即打補丁，可啟用DMZ功能作為臨時緩解措施
• 使用ProjectDiscovery免費檢測工具：nuclei -t https://cloud.projectdiscovery.io/public/CVE-2025-2825
• 審計服務器日志中可疑的/WebInterface/function/ GET請求

這是CrushFTP繼CVE-2023-43177后再次出現安全問題，該漏洞同樣允許未認證攻擊者訪問文件并執行任意代碼。文件傳輸解決方案中反復出現的認證漏洞反映出令人擔憂的趨勢，攻擊者持續將這些關鍵基礎設施組件作為入侵企業網絡的入口。各組織應立即優先修補此漏洞。